cdboot parece ser un virus (SOLUCIONADO)

[geocad]

Hola a todos, estoy desesperada, puse mi pendrive en el PC y traía el archivo CDboot.exe, desde ahí que empezaron mis problemas, tanto así que formatee el disco C, instalé de nuevo win XP, pero el archivo CDboot sigue y me dá la impresion de que es un virus. Aparece cada vez que abro el explorador de windows, y despues en administrador de tareas, siempre aparece en las aplicaciones, es un cruz verde que dice system32.

He escaneado con muchos antivirus y ninguno me dice nada, he probado antivirus panda online, kaspersky, y nada ......el archivo sigue ahí, ahora tambien está en el disco D.

Aquí les pongo el log. ¡¡¡¡por favor ayudenmeeeeeeeeeeeee¡ :cry: , gracias de antemano.



Logfile of HijackThis v1.99.1

Scan saved at 20:08:12, on 03-05-2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

C:\ARCHIV~1\AVG\AVG8\avgrsx.exe

C:\ARCHIV~1\AVG\AVG8\avgemc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\AVG\AVG8\avgscanx.exe

C:\cdboot.exe

C:\WINDOWS\system32\System32.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\Elenita\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: PowerReg Scheduler.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe



chao, saludos a todos.

:|

[msc hotline sat]

Pues envianos dicho fichero [b][i]CDBOOT.EXE[/i][/b] para analizar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





aparte voy a mirar el log del HJT...



Aparte del indicado, envianos tambien:



C:\WINDOWS\system32\[b][i]System32.exe[/i][/b]



y el [b][i]PowerReg Scheduler.exe[/i][/b]



Tras analizarlos informaremos.



saludos



ms, 4-05-2008

[msc hotline sat]

Pues apenas si hay algun antivirus que detecte el Uzelok en los dos ficheros CDBOOT.EXE y SYSTEM32.EXE, y nada en el otro.



Mionotorizaremos dichos ficheros e informaremos



saludos



ms, 5-05-2008

[geocad]

hola, gracias por ayudarme, estoy desesperadaaaaaaaaaaaaa, que hago mientras ustedes investigan???????????????????????????????, paso otros antivirus?????, algo????????? :( ,

gracias de antemano.

[msc hotline sat]

Prueba el ELISTARA que ya hemos subido:



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 5-05-2008

[geocad]

Hola, aquí va el infosat.txt :





Mon May 05 20:10:40 2008

EliStartPage v16.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SYSTEM32.EXE --> Eliminado Uzelok.A

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

shell\open=

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

shell\open=

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Mon May 05 20:12:52 2008

EliStartPage v16.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\CDBOOT.EXE --> Eliminado, Uzelok.A

C:\Documents and Settings\Elenita\Escritorio\virus\CDBOOT.EXE --> Eliminado, Uzelok.A

C:\Documents and Settings\Elenita\Escritorio\virus\SYSTEM32.EXE --> Eliminado, Uzelok.A



Nº Total de Directorios: 1693

Nº Total de Ficheros: 15011

Nº de Ficheros Analizados: 8151

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Mon May 05 20:15:41 2008

EliStartPage v16.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\CDBOOT.EXE --> Eliminado, Uzelok.A

D:\Archivos de programas para juegos\WinAVI Video Converter\SIMPLEEXT.DLL --> Eliminado, AutoRun.K



Nº Total de Directorios: 7989

Nº Total de Ficheros: 66153

Nº de Ficheros Analizados: 1367

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Mon May 05 20:22:35 2008

EliStartPage v16.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

shell\open=

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

shell\open=

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Mon May 05 20:22:42 2008

EliStartPage v16.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1689

Nº Total de Ficheros: 14996

Nº de Ficheros Analizados: 8147

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon May 05 20:25:49 2008

EliStartPage v16.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 7989

Nº Total de Ficheros: 66151

Nº de Ficheros Analizados: 1365

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Parece que lo eliminó, que hago ahora?????, y que hago con el pendrive que está infectado con este virus???.

Muchas gracias por la paciencia, todos ustedes son muy buena onda.

Chao.

[Claudia34]

Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/



Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



Y para el tema de los autorun descargate del siguiente enlace el elipen:



http://www.zonavirus.com/descargas/elipen.asp



Saludos.

[msc hotline sat]

Pues examina el pendrive con el mismo ELISTARA, seleccionando la unidad donde lo tengas insertado.



Y recuerda nuestra gran utilidad para vacunar ordebadores y pendrive contra propagacion de los actuales virus que se propagan por dicho medio: ELIPEN:


[quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 6-5-2008

[geocad]

Hola muchas gracias por sus consejos, hice todo lo me dijeron y parece que elimine el maldito virus, formatee nuevamente el disco c e instale win xp , pero ahora mi problema es que el disco duro D no me abre, le doy doble click y me dice "abrir con..." y me da a elegir varios programas para abrir. ¿habrá quedado algun bichito por ahí dando vueltas???. He pasado elistar y otro antivirus y no detecta nada.



Chao.

[msc hotline sat]

Pues lanza el ELISTARA explorando la unidad D:, a ver si es que aun hay algo al respecto...



Y nos cuentas el resultado, lo que no sabía es que pensases formatear el C, pues asi no hacia falta que lo limpiaramos ??? Si piensas hacer lo mismo con el D, aprovecha ahora !



saludos



ms, 6-5-2008

[geocad]

Hola, no pensaba formatear, lo que pasa que decidí hacerlo ahora. En todo caso en el primer mesaje que les envié, les dije que había formateado el disco C para intentar eliminar el virus, sin embargo el virus apareció nuevamente, al parecer resiste el formateo. Por eso no veía como opción para desinfectar, formatear el disco, ¿me entiendes? Pero el disco D no puedo formatearlo porque tengo TODO respaldado ahí, pasé el elistara y no arrojo nada, aquí está el informe:



Tue May 06 16:08:38 2008

EliStartPage v16.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 7993

Nº Total de Ficheros: 66159

Nº de Ficheros Analizados: 1368

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Muchas gracias por la pacienciaaaaaaaaaaaaaaaaaaaaa

[geocad]

Hola soy yo de nuevo, encontré un archivo autorun.inf en el disco D, lo borré reinicié y se arreglo el problema, era eso??????



Gracias y disculpen las molestias :?

[msc hotline sat]

El AUTORUN.INF es un script que utilizan todos los virus de pendrive, pero su contenido cambia en funcion de cada uno.



Ya te deciamos en infosat anteriores:



Detectado AUTORUN.INF en la Unidad (D)

shell\open=

Si Desconoce la Aplicación, por favor envienosla



Puede que aun tengas ficheros infectados en el D:, ya que solo has eliminado el lanzador, no el virus propiamente dicho.



Prueba este AV ONLINE para detectarlo si asi fuera y nos posteas el resultado:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlotodo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos enconsecuencia, pidiendo muestras para analizar, si hace falta,indicando la utilidad a probar para solucionarlo.



saludos



ms, 7-5-2008

[geocad]

Hola nuevamente, pase el antivirus que me dijiste, aquí va el reporte:



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

miércoles, 07 de mayo de 2008 17:34:17

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 7/05/2008

Registros en la base antivirus: 666247

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\



Estadísticas:

Número de objeros analizados: 91267

Virus encontrados: 0

Objetos infectados: 0 / 0

Objetos sospechosos: 0

Duración del análisis: 04:31:22



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\ESET\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\Elena\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Elena\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Elena\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\Elena\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Elena\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Elena\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Elena\Configuración local\Historial\History.IE5\MSHist012008050720080508\index.dat Object is locked saltado

C:\Documents and Settings\Elena\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Elena\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Elena\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{BAE5263C-9197-4A72-B24B-A3403D0D3EF0}\RP7\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\b32663dda2d99375fd16dc1f\msxml4-KB927978-enu.log Object is locked saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

D:\System Volume Information\_restore{BAE5263C-9197-4A72-B24B-A3403D0D3EF0}\RP7\change.log Object is locked saltado



Análisis completado.

, como no salió nada tb pasé el elistara, aca vá el infosat:



Wed May 07 17:35:58 2008

EliStartPage v16.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed May 07 17:36:11 2008

EliStartPage v16.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 7994

Nº Total de Ficheros: 66170

Nº de Ficheros Analizados: 1368

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Parece que no hay bichos, pero espero lo que me digas tú.



gracias. :D

[msc hotline sat]

Pues eso parece:



EliStartPage v16.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 7993

Nº Total de Ficheros: 66159

Nº de Ficheros Analizados: 1368

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



y el AV:



Virus encontrados: 0

Objetos infectados: 0 / 0

Objetos sospechosos: 0





Asi que damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 8-05-2008