Problema con virus Backdoor.Win32.VBbot.bx (CERRADO)

[mirengarci]

Hola a todos y gracias de antemano por vuestra ayuda:

He analizado mi pc con Kaspersky online y apesar de que tengo un virus no me da opcion de eliminarlo.

Aqui os dejo el informe para que me digais que puedo hacer

lunes, 25 de febrero de 2008 8:53:04

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 25/02/2008

Registros en la base antivirus: 534710





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

A:\

C:\

D:\

F:\

G:\

H:\

I:\



Estadísticas

Número de objeros analizados 62536

Virus encontrados 1

Objetos infectados 3 / 0

Objetos sospechosos 0

Duración del análisis 01:29:28



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Historial\History.IE5\MSHist0120080225200802 26\index.dat Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Temp\~DF11A.tmp Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Temp\~DFA232.tmp Object is locked saltado



C:\Documents and Settings\Usuario\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Usuario\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Usuario\ntuser.dat.LOG Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{979BCDBD-615E-4A5E-B897-22D4B98D5EA1}\RP105\A0159481.exe Infectados: Backdoor.Win32.VBbot.bx saltado



C:\System Volume Information\_restore{979BCDBD-615E-4A5E-B897-22D4B98D5EA1}\RP106\change.log Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\lod(2).exe Infectados: Backdoor.Win32.VBbot.bx saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\DataStore\DataStor e.edb Object is locked saltado



C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb .log Object is locked saltado



C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp .edb Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado



C:\WINDOWS\SSMS.EXE Infectados: Backdoor.Win32.VBbot.bx saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado



C:\WINDOWS\system32\config\OSession.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked saltado



C:\WINDOWS\system32\h323log.txt Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.

Un saludo

[msc hotline sat]

Efectivamente, el ONLINE de Kaspersky solo testea, informa pero no limpia, pero ya con los ficheros que ha detectado podremos obrar en consecuencia.



De entrada renombre su extension a .VIR , para que en el proximo reinicio ya no se carguen, y envianoslos para analizar :





C:\WINDOWS\lod(2).exe Infectados: Backdoor.Win32.VBbot.bx saltado



C:\WINDOWS\SSMS.EXE (fijarse que no se indica SYSTEM32)





Tras ello los analizaremos e implementaremos en nuestras utilidades, de lo cual informarmos



saludos



ms, 25-2-2008



nota: El del RESTORE se supone que lo eliminaremos sin problemas con la nueva version de hoy que haremos al respecto del ELITRIIP 4.43





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

___________


[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]

ms

[mirengarci]

Hola y muchas gracias por la rapidez en la respuesta.

Estoy intentando encontrar los archivos pero no aparecen el unico que encuentro es este :

lod(2).exe-2805FF61.pf que esta en windows\ prefetch

No se si es el que busco, con respecto al otro no lo encuentro

¿que puedo hacer?

Un saludo

[msc hotline sat]

No, el que indicas es un .PF, (prefetch) que solo sirve la acelerar el lanzamiento del ejecutable, pero no es él, que necesitamos para monitorizar y ver sus acciones para deshacerlas.



Pues empieza al revés, prueba el ELITRIIP y a lo mejor nos facilita la tarea, eliminando dichos ficheros si ya los conoce, o moviendolos a la carpeta c:\muestras si los detecta como sospechosos para analizar, y asi te será mas fácil enviarnoslos.



http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, abre el c:\infosat.txt con el bloc de notas, seleccionas todo el contenido y lo copias y pegas a tu siguiente post, como respuesta de este TEMA



saludos



ms, 25-2-2008





NOTA: Igualmente envianos los ficheros que hayamos de analizar a https://foros.zonavirus.com/viewtopic.php?f=5&t=14253 ms.

[mirengarci]

Bueno, pues ya he pasado el Elitriip y aqui os adjunto el informe



Mon Feb 25 14:02:40 2008

EliTriIP v4.42 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliTriIP v4.42

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SVCHOST.EXE --> Eliminado



Mon Feb 25 14:04:42 2008

EliTriIP v4.42 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Usuario\Mis documentos\MARIA\programas\OFicce_jaiMUCHO_2007\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)

C:\WINDOWS\select2.exe --> Eliminado, Malware(winsys)

C:\WINDOWS\Options\Install\select2.exe --> Eliminado, Malware(winsys)



Nº Total de Directorios: 3839

Nº Total de Ficheros: 41565

Nº de Ficheros Analizados: 9638

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Un saludo y gracias

[lucl]

Pues envianos esto que pide elitriip



Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliTriIP v4.42



sigue las instrucciones del link , saludos



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

[msc hotline sat]

Y añade al envio al menos este, de los que te pediamos antes, que te será bien fácil de localizar:



C:\WINDOWS\SSMS.EXE



que al ser detectado tambien como Backdoor.Win32.VBbot.bx, igual que el otro, igual, con el analisis de este. podemos controlar al indicado malware y eliminamos con ello el otro...



saludos



ms, 26-2-2008

[mirengarci]

Por fin he encontrado los dos primeros archivos y tras renombrar su extension a .vir los he enviado para analizarlo

Espero vuestra respuesta

Un saludo

[lucl]

Pues estate atenta al post mañana que te diran algo al respecto, saludos

[msc hotline sat]

Recibidos dos ficheros para analizar, aunque tengan distinto nombre son iguales, y pasamos a controlarlos con el ELITRIIP de hoy 4.44



A partir de las 19 h GMT estará disponible en esta web para pruebas de evaluacion en el foro de zonavirus



Tras probarlo, posteanos el contenido del infosat.txt, con un copiar y pegar, gracias



saludos



ms, 26-2-2008

[mirengarci]

Al principio no entendia como hacer lo que me deciais asi que borre los archivos manualmente , he vuelto a pasar el Kaspersky online y ahora me sale esto:



miércoles, 27 de febrero de 2008 17:36:35

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 27/02/2008

Registros en la base antivirus: 537979





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Carpetas

C:\



Estadísticas

Número de objeros analizados 49041

Virus encontrados 1

Objetos infectados 4 / 0

Objetos sospechosos 0

Duración del análisis 01:00:26



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Identities\{C68D3362-6F58-4EA3-B26E-77D9AC346F4E}\Microsoft\Outlook Express\Elementos enviados.dbx/[From "Maria Garcia" ][Date Mon, 25 Feb 2008 16:39:56 +0100]/UNNAMED/SSMS.vir Infectados: Backdoor.Win32.VBbot.bx saltado



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Identities\{C68D3362-6F58-4EA3-B26E-77D9AC346F4E}\Microsoft\Outlook Express\Elementos enviados.dbx/[From "Maria Garcia" ][Date Mon, 25 Feb 2008 16:39:56 +0100]/UNNAMED/lod(2).vir Infectados: Backdoor.Win32.VBbot.bx saltado



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Identities\{C68D3362-6F58-4EA3-B26E-77D9AC346F4E}\Microsoft\Outlook Express\Elementos enviados.dbx/[From "Maria Garcia" ][Date Mon, 25 Feb 2008 16:39:56 +0100]/UNNAMED Infectados: Backdoor.Win32.VBbot.bx saltado



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Identities\{C68D3362-6F58-4EA3-B26E-77D9AC346F4E}\Microsoft\Outlook Express\Elementos enviados.dbx Mail MS Outlook 5: infectado - 3 saltado



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Usuario\Configuración local\Temp\~DFE27.tmp Object is locked saltado



C:\Documents and Settings\Usuario\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Usuario\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Usuario\ntuser.dat.LOG Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{979BCDBD-615E-4A5E-B897-22D4B98D5EA1}\RP108\change.log Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado



C:\WINDOWS\system32\config\OSession.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked saltado



C:\WINDOWS\system32\h323log.txt Object is locked saltado



C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.

El reporte del elitrip es este





Wed Feb 27 17:57:39 2008

EliTriIP v4.44 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Feb 27 17:57:45 2008

EliTriIP v4.44 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3826

Nº Total de Ficheros: 48451

Nº de Ficheros Analizados: 10532

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Un saludo

[lucl]

No obstante pasate el elitriip y veamos el log que tendras en C , infosat.txt nos lo copias y pegas, saludos

[mirengarci]

Aqui te dejo el ultimo informe del elitriip:



Wed Feb 27 17:57:39 2008

EliTriIP v4.44 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Feb 27 17:57:45 2008

EliTriIP v4.44 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3826

Nº Total de Ficheros: 48451

Nº de Ficheros Analizados: 10532

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Ya lo habia pegado pero supongo que no lo has visto

Un saludo y muchas gracias

[mirengarci]

Aqui te dejo el ultimo informe del elitriip:



Wed Feb 27 17:57:39 2008

EliTriIP v4.44 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Feb 27 17:57:45 2008

EliTriIP v4.44 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3826

Nº Total de Ficheros: 48451

Nº de Ficheros Analizados: 10532

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Ya lo habia pegado pero supongo que no lo has visto

Un saludo y muchas gracias

[msc hotline sat]

Parece que has usado algo mas que ha renombrado dichos ficheros a .VIR y movidos a UNNAMED ???, posiblemente se auna carpeta de cuarentena en la que pone los infectados encriptandolos, pero ya no estan activos al tener ya extension .VIR:



...UNNAMED/SSMS.vir Infectados: Backdoor.Win32.VBbot.bx

...UNNAMED/lod(2).vir Infectados: Backdoor.Win32.VBbot.bx



no se qué ni quien ha sido, pero por lo que parece ya no tienes el virus activo, si bien los ficheros deben haber sido encriptados y ya no son como los originales, por lo que el ELITRIIP no los va a detectar, borralos pero sin prisas, porque ya no molestan mas que por el sitio que ocupan.



Por supuesto que si persistiera alguna anomalia dinosla, y si sabes lo que te renombró dichos ficheros a .VIR y los movió a "UNNAMED" ??? tambien nos lo comentas, gracias



saludos



ms, 28-2-2008

[mirengarci]

Bueno pues pensaba que estaba solucionado y esto esta cada vez peor

Se me ha desconfigurado outlook expres y algun programa no funciona

he revisado con tuneup y me dice que con windows se inicia un gusano llamado W32 agobot que es muy peligroso

¿Que puedo hacer?

Muchas gracias y un saludo

[msc hotline sat]

Pues no lo tenias cuando pasaste los escaneos... Quizas lo has descargado en la ultima navegacion.



Envianos el fichero donde te indica haberlo detectado, y tras analizarlo pasaremos a controlarlo, de lo cual informaremos



Y renombra su extension a .VIR para que en el proximo reinicio ya no se ponga en marcha



saludos



ms, 28-2-2008

[mirengarci]

Gracias por la rapidez

No se cual es el fichero, he mirado los programas que se cargan en el inicio atraves de tuneup y me dice atencion aplicacion peligrosa gusano W32. agobot Volks, pero no se donde buscarla

Un saludo

[msc hotline sat]

Pues con los otros programas no lo vemos...



Prueba este AV ONLINE que no va a eliminar pero veremos si lo encuentra y donde...



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]







NOTA: Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



saludos



ms, 28-2-2008

[mirengarci]

no me deja pasar el antivirus online

un saludo

[msc hotline sat]

Pues arranca en modo segur0 con funciones de red, por si hubiera de otra forma un residente virico que lo impidiera



y nos posteas el resultado



saludos



ms, 28-2-2008

[mirengarci]

Hola

Tampoco me lo permite

Me da error desconocido al comprobar la licencia del producto Kaspersky online antivirus

[msc hotline sat]

???



Pues ya por ultimo, veamos que no haya algun RootKit. lanza este aplicacion y posteanos el resultado:





ROOTKITDETECTIVE (ACCESO AL LINK DE DESCARGA)

http://download.nai.com/products/mcafee ... ective.zip





saludos



ms, 28-2-2008

[mirengarci]

Hola:

Este es el informe del rootkit detective

McAfee(R) Rootkit Detective 1.1 scan report

On 28-02-2008 at 19:09:27

OS-Version 5.1.2600

Service Pack 2.0

====================================



Object-Type: Registry-key

Object-Name: DataAfee(R) Rootkit Detective 1.1 scan report



Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data

Status: Hidden



Object-Type: Registry-key

Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-key

Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Item Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Status: Hidden



Object-Type: Registry-key

Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: Value

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: (Default)

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}

Status: Registy value-data mismatch



Object-Type: Process

Object-Name: egui.exe

Pid: 1952

Object-Path: C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

Status: Visible



Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1116

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: alg.exe

Pid: 2108

Object-Path: C:\WINDOWS\System32\alg.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 900

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 528

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: winlogon.exe

Pid: 684

Object-Path: C:\WINDOWS\system32\winlogon.exe

Status: Visible



Object-Type: Process

Object-Name: lsass.exe

Pid: 748

Object-Path: C:\WINDOWS\system32\lsass.exe

Status: Visible



Object-Type: Process

Object-Name: PCSuite.exe

Pid: 1988

Object-Path: C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe

Status: Visible



Object-Type: Process

Object-Name: System

Pid: 4

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: soundman.exe

Pid: 1928

Object-Path: C:\WINDOWS\SOUNDMAN.EXE

Status: Visible



Object-Type: Process

Object-Name: explorer.exe

Pid: 1588

Object-Path: C:\WINDOWS\Explorer.EXE

Status: Visible



Object-Type: Process

Object-Name: aawservice.exe

Pid: 1620

Object-Path: C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

Status: Visible

No se que tengo que hacer con todo esto

[msc hotline sat]

Prueba de registrar estas DLL ejecutando estas lineas desde una ventana al DOS:



REGSVR32 softpub.dll

REGSVR32 wintrust.dll

REGSVR32 initpki.dll

REGSVR32 Rsaenh.dll

REGSVR32 Mssip32.dll

REGSVR32 Cryptdlg.dll

REGSVR32 Dssenh.dll

REGSVR32 Gpkcsp.dll

REGSVR32 Slbcsp.dll

REGSVR32 Sccbase.dll





y por otra parte, y tras ello persistiera el problema, vuelve a lanzar el AntiRootKit Detective pero esta vez arrancando en modo seguro, y nos posteas igualmente el resultado



saludos



ms, 28-2-2008

[mirengarci]

muchas gracias por contestar tan rapido

No entiendo lo que me dices que haga, la verdad es que no soy muy experta

si pudieras explicarmelo te lo agradeceria

un saludo

[msc hotline sat]

Abre una ventana al DOS.



Desde alli escribe la primera linea indicada y le das al ENTER



Luego la segunda y ENTER



Y la tercera...



y asi sucesivamente



saludos



ms, 28-2-2008

[mirengarci]

Mientras esperaba tu respuesta, he cambiado de antivirus he puesto el avast y me ha encontrado un virus que he puesto en cuarentena.

Despues atraves del tuneup he averiguado cual era el posible archivo que me esta dando problemas, y lo he enviado a virus total, este a sido el resultado:



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.2.29.1 2008.02.29 -

AntiVir 7.6.0.67 2008.02.29 HEUR/Malware

Authentium 4.93.8 2008.02.29 -

Avast 4.7.1098.0 2008.02.28 -

AVG 7.5.0.516 2008.02.29 -

BitDefender 7.2 2008.02.29 -

CAT-QuickHeal 9.50 2008.02.28 -

ClamAV 0.92.1 2008.02.29 -

DrWeb 4.44.0.09170 2008.02.29 -

eSafe 7.0.15.0 2008.02.28 -

eTrust-Vet 31.3.5574 2008.02.29 -

Ewido 4.0 2008.02.28 -

FileAdvisor 1 2008.02.29 -

Fortinet 3.14.0.0 2008.02.28 -

F-Prot 4.4.2.54 2008.02.28 -

F-Secure 6.70.13260.0 2008.02.29 -

Ikarus T3.1.1.20 2008.02.29 -

Kaspersky 7.0.0.125 2008.02.29 -

McAfee 5241 2008.02.28 -

Microsoft 1.3301 2008.02.29 -

NOD32v2 2911 2008.02.29 -

Norman 5.80.02 2008.02.28 -

Panda 9.0.0.4 2008.02.28 -

Prevx1 V2 2008.02.29 -

Rising 20.33.40.00 2008.02.29 -

Sophos 4.27.0 2008.02.29 Mal/Emogen-K

Sunbelt 3.0.906.0 2008.02.28 -

Symantec 10 2008.02.29 -

TheHacker 6.2.9.229 2008.02.25 -

VBA32 3.12.6.2 2008.02.27 -

VirusBuster 4.3.26:9 2008.02.28 -

Webwasher-Gateway 6.6.2 2008.02.29 Heuristic.Malware

Se puede elliminar el archivo?

Por cierto el archivo es: c:\windows\cssrs.exe

Un saludo

[mirengarci]

Al final decidi eliminar el archivo y a partir de ahi se me a ido solucionando todo

He podido escanerar con el Kaspersky online y sale limpio

Gracias y un saludo

[msc hotline sat]

Pues podría habernoslo enviado parta su analisis, como siempre pedimos, y asi se hubiera podido controlar en el futuro ...



Eliminando las muestras hace un flaco favor al foro !



Se cierra el Tema en consecuencia



ms.