Virus aun despues de formatear (SOLUCIONADO)

[scorpion]

Hola, gracias por pasar.



Desde hace varios dias noté que mi compu navegaba muy lento, le he pasado el elitriip y el elistara, elitriip me pide que envie el archivo de muestra regedit.exe y el elistara me pide que envie el archivo explorer.exe. Ambos archivos se encuentran en c:\windows\system32. esto lo hacen cada vez que los ejecuto. Los archivos no existen en este directorio, lo he mirado incluso con utilidades off-line, Knoppix y Avira NTFS4DOS. Decidí formatear mi disco duro y reinstalar mi Windows (vista x64 ultimate) pero mi gran sorpresa fué que las utilidades me reportaban las mismas fallas (regedit.exe y explorer.exe)



Ah elelitriip tambien me dice que tengo un gusano SDBOT y me dice que lo eliminará al reiniciar, pero nada sucede.



agradezco de antemano la ayuda que me puedan brindar.



salu2

[lucl]

Lo primero de todo haz esto que supongo tienes echo pero por si acaso





Dentro de Mipc/Herramientas/Opciones de carpeta/Ver/Archivos y carpetas



ocultos "selecciona Mostrar archivos y carpetas ocultos/aplicar/aceptar.



Luego bajate la ultima version de elistara y elitriip y pasalos de nuevo por tu pc, y el infosat que te deja en C debes enviarnos para su analisis, saludos





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[scorpion]

bueno pues eso ya lo he hecho... y de verdad que los archivos no existen. Podría ser una fallo de elistara y elitriip? lo dudo mucho. he corrido el msn cleaner y me detecta el mismo archivo: c:\windows\system32\explorer.exe



no se porque razon no se ha creado el satinfo.txt y ahora elistara se queda bloquedao (no responde)



he corrido avast, nod32, pctools antivirus y avg, ninguno detecta nada.



alguna idea?



Gracias.

[lucl]

Bueno te comento, en este foro no damos soporte al vista por las complicaciones que da. Para pasar correctamente elistara y elitriip debes pasarlos arrancando en modo seguro y ejecutarlos con opcion de administrador. Pruebalo asi y a ver si te deja log en C infosat.txt saludos

[scorpion]

Aquí dejo el log de HJT



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:55:59, on 07/06/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16386)

Boot mode: Normal



Running processes:

F:\ELISTARA.AEØFBØØH.EXE

C:\Users\Otros\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XBC5EARE\ELISTARA.AE%D8FB%D8%D8H[1].EXE

C:\Program Files (x86)\Mozilla Firefox\firefox.exe

C:\Users\Otros\AppData\Local\Temp\Temp1_HiJackThis.zip\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=userinit.exe

O1 - Hosts: ::1 localhost

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O13 - Gopher Prefix:

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)



--

End of file - 4334 bytes



y aqui los resultados de infosat.txt



Sun Jun 08 08:04:34 2008

EliStartPage v16.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\EXPLORER.EXE.Muestra EliStartPage v16.44

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EXPLORER.EXE --> Acceso Denegado.

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Sun Jun 08 08:04:44 2008

EliStartPage v16.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Jun 08 08:04:48 2008

EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\REGEDIT.EXE.Muestra EliTriIP v4.77

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\REGEDIT.EXE --> Renombrado a .VIR

Reinicie para Completar la Limpieza.



Sun Jun 08 08:04:52 2008

EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 12250

Nº Total de Ficheros: 59434

Nº de Ficheros Analizados: 13936

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Nº Total de Directorios: 12250

Nº Total de Ficheros: 59434

Nº de Ficheros Analizados: 15648

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



este es el resultado despues de reiniciar y usando las versiones mas recientes de elistara y elitriip



Sun Jun 08 08:46:46 2008

EliStartPage v16.45 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\EXPLORER.EXE.Muestra EliStartPage v16.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EXPLORER.EXE --> Acceso Denegado.

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Sun Jun 08 08:46:58 2008

EliTriIP v4.78 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\REGEDIT.EXE.Muestra EliTriIP v4.78

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\REGEDIT.EXE --> Renombrado a .VIR

Reinicie para Completar la Limpieza.



además elistara dice que tengo un troyano Autorun.BO y elitriip dice que tengo el gusano SDBOT



ya no se que hacer, he formateado dos veces, incluso he utilizado otro disco duro...

[lucl]

Pues es que con el vista tenemos un gran problema y es que con eso de tener que poner opciones de administrador para todo nos ata las manos. Si te descargaste hoy las versiones de elistara y elitriip vale, pero si no hazlo porque se han actualizado anoche. Y envianos los dos ficheros que te piden elistara y elitriip`que tienes en C en la carpeta muestras y los analizaremos, saludos



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[scorpion]

bueno pues estos resultados los obtuve con las versiones que descargué hoy, las muestras ya alas he enviado.



espero que encuentren algo.



salu2

[lucl]

Bien, mañana lo analizaran, pero no olvides que tienes vista y eso nos ata un poco las manos, saludos

[scorpion]

si yo c, Vista puede ser un gran dolor de cabeza... yo soy técnico y mi trabajo es limpiar los virus y arreglar los computadores de los demás, pero como dice el dicho en casa de herrero, azadón de palo... jajaja



agradezco la ayuda y el tiempo que me han dedicado.

[lucl]

O sea que eres tecnico , bueno eso que te llevas por delante sobre el vista porque aqui ya te digo que ni le damos soporte, a ver que pasa con la muestra, :lol: saludos

[scorpion]

pues sigo con el problemita, instalé mi disco duro como esclavo en otra máquina y no me detecta nada... pero cuando lo vuelvo a colocar en mi PC la cosa sigue igual... estoy a punto de tirarlo por la ventana.... jajaja.... no ya enserio que hago? es que ya formatee dos veces y no es lógico que el virus persista...



en fin a qui seguire esperando su ayuda.



salu2

[lucl]

Estate atento al foro que informare de cuando se han subido las herramientas actualizadas , saludos

[lucl]

Ya puedes probar las herramientas y nos comentas si solucionamos el tema al final o no, saludos

[scorpion]

pues malas noticias amigos, acabo de correr elistara y elitrii las ultimas versiones y el resultado es igual



Wed Jun 11 05:59:13 2008

EliTriIP v4.79 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\REGEDIT.EXE.Muestra EliTriIP v4.79

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\REGEDIT.EXE --> Renombrado a .VIR

Reinicie para Completar la Limpieza.



Wed Jun 11 05:59:24 2008

EliStartPage v16.47 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\EXPLORER.EXE.Muestra EliStartPage v16.47

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EXPLORER.EXE --> Acceso Denegado.

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.





no se si alguien me pudiera recomendar un brujo, chaman o similar... porque creo que esto ya esta fuera de sitio jajaja



felicidades



seguiré haciendo pruebas y les cuento cualquier avance.

[lucl]

Con el vista hemos topado! En fin, supongo los pasaste arrancando el pc en modo seguro, si no fue asi intentalo a ver que pasa... Saludos y que no decaiga

[scorpion]

pues la verdad es que ya estoy pensando en volverme al XP, no me preocuparia mucho por lo estos virus, pero es que me ponen lento el internet...



de todas formas agradezco la ayuda queme han prestado, si no han podido solucionarlo ustedes creo que nadie podrá...

[lucl]

Francamente si tienes xp disponible yo que tu me cambiaba, el vista pasara sin pena ni gloria con la aparicion del windows 7 que ya anda por ahi, nos comentas si quieres enviarnos las muestras de nuevo o que hacer, saludos

[scorpion]

yo creo que por ahora dejaré así, si quieres dar por temindado el tema estoy de acuerdo y de nuevo agradezco toda la ayuda prestada.



otra cosa, he utilizado el elistara v16.19 y este no me ha detectado nada, no sé si esto les diga algo.



salu2

[lucl]

Hagamos esto si te parece, por si acaso tu muestra no fue incluida en la version de elistara de ayer, espera a la de hoy, y cuando te avise la descargas de nuevo pero pasala en modo seguro y con opciones de administrador a ver si te localiza algo, es que me extraña que no te haya encontrado nada y te pida de nuevo muestras. Saludos

[lucl]

Ya se han subido las herramientas actualizadas a la web, pruebalas y a ver si hoy si tienes suerte, nos copias el infosat gracias, saludos

[scorpion]

Bueno despues de ejecuatar elistara y elitriip actualizados el resultado sigue siendo el mismo:



Thu Jun 12 20:19:44 2008

EliTriIP v4.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\REGEDIT.EXE.Muestra EliTriIP v4.81

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\REGEDIT.EXE --> Renombrado a .VIR

Reinicie para Completar la Limpieza.



Thu Jun 12 20:20:53 2008

EliStartPage v16.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\EXPLORER.EXE.Muestra EliStartPage v16.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EXPLORER.EXE --> Acceso Denegado.

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Thu Jun 12 20:21:01 2008

EliStartPage v16.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 85

Nº Total de Ficheros: 397

Nº de Ficheros Analizados: 234

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



lo mismo, los dichosos archivos no existen...



que otra cosa se les ocurre?



saludos.

[lucl]

Pues ya solo se me ocurre que no hayan llegado bien las muestras porque esto es rarisimo, intenta de nuevo el envio a ver si ya si conseguimos solucionarlo, saludos

[scorpion]

Buenopues les cuento que anoche me puse en la tarea de buscar los archivos dde referencia, haciendo una busqueda a profundidad encontré varios archivos que correspondian con el nombre, dentro de estos habia dos sospechosos ya que tenian el mismo tamaño que los de las muestras y además no me dejaban renombrarlos y borrarlos, nisiquiera con el killnox, así que reinicie mi pc con Knoppix y desde allí ubiqué los dichosos archivos y los renombré. No se imaginan la emoción que sentí al reiniciiar con windows y no encontrar nada con elistara ni con elitriip.



aqui el log de satinfo.txt





Fri Jun 13 06:05:18 2008

EliStartPage v16.49 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jun 13 06:05:26 2008

EliTriIP v4.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Jun 13 06:05:27 2008

EliTriIP v4.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 181

Nº Total de Ficheros: 634

Nº de Ficheros Analizados: 251

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.





de todas formas he enviado las muestras de nuevo, me gustaría saber el resultado de la revisión.



gracias de nuevo por el apoyo y la ayuda prestadas.



salu2

[lucl]

Pues esta tarde o mañana colgaremos las versiones actualizadas y te aviso , los pasas y a ver si ya por fin podemos dar por solucionado el tema. Aunque piensa que lo mas probable es que los informes salgan limpios si es que has podido eliminar todos los archivos, saludos

[scorpion]

de hecho si, como puedes ver el informe ya sale limpio, creo que porfin podemos dar por termindado el asunto.



salu2

[lucl]

Pues entonces cerramos el tema dandolo por solucionado, saludos