Virus que bloquea Internet y Antivirus

[belma]

Hola, ayer tras bajarme un programa, mi antivirus ( Avast ) me informó de la existencia de un Troyano que había sido colocado en el baúl, lo eliminé y volví a escanear el sistema sin aparentes problemas. Hoy al acceder al ordenador compruebo que han desaparecido los iconos que Avast tenía al lado del reloj, que no tengo conexión a Internet con ese ordenador ( ahora mismo estoy con un portátil ) y que Avast no funciona.
Inicio de nuevo en modo seguro, y consigo abrir Avast que me dice que tengo un Troyano Win32 trojan-gen en C:\Program Files\PPmate\ppmnet.exe y que es recomendable mandarlo al baúl, lo intento pero no puedo, así que lo elimino y después automaticamente se inicia un escaneo ( de arranque ) de Avast que me vuelve a dar el mismo virus, en este caso sí puedo mandarlo al baúl. Finalizado el escaneo, inicio sesión de nuevo, y compruebo que sigo sin Avast y sin conexión a Internet.
Vuelvo al modo seguro y tras otro escaneo de Avast aparece otro virus: Win32:Beagle-AAW (Trj) en C:\Windows\System32\drivers\srosa.sys. Lo elimimo pero sigo sin conexión a Internet y sin poder ejecutar Avast en modo normal.
También he realizado escaneo en modo seguro con Malwarebytes con el siguiente resultado:

Malwarebytes´Anti-Malware 1.25
Version de la base de datos: 1062
Windows 6.0.6000
10:15:22 31/08/2008
mbam-log-08-31-2008 (10-15-22).txt.
tipo de examen: examen completo ( C:\ | D:\ |)
objetos examinados: 166430
tiempo transcurrido: 28 minutes 0 seconds
Procesos de Memoria infectados: 0
Módulos de memoria infectados: 0
Claves de registro infectadas: 0
Valores de registro infectados: 0
Elementos de datos del registro infectados: 0
Carpetas infectadas: 1
Ficheros infectados: 2
Procesos en Memoria infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria infectados:
(No se han detectado elementos maliciosos)
Claves del Registro infectadas:
(No se han detectado elementos maliciosos)
Valores del Registro infectados:
(No se han detectado elementos maliciosos)
Elementos de datos del Registro infectados:
(No se han detectado elementos maliciosos)
Carpetas infectadas:
C:\Windows\System32\drivers\downld(Trojan.Agent) -- quarantined and deleted successfully
Ficheros infectados:
C:\Windows\Acer_Normal\Installer_Flash_Player_9_AX _9.0.28.0.exe(BHO.Baidu) -- quarantined and deleted successfully
C:\Windows\System32\drivers\hldrrr.exe(Rootkit.Agent) --- quarantined and deleted successfully.

Esta situación está acabando con mis nervios y sigo sin conexión. Por favor, me podéis ayudar????
Gracias, un saludo.

[msc hotline sat]

La utilidad que ha usado, Malwarebytes´Anti-Malware 1.25, no ha sido recomendada por este foro, ni sabemos lo que puede haber hecho o dejado de hacer, y aunque se supone que el bagle detectado lo ha eliminado correctamente, puede que hayan claves modificadas por el mismo pendientes de restaurar

Prueba el ELIBAGLA y posteanos el informe resultante:

http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 31 de Agostod e 2008

[belma]

Hola, ayer el sistema no me dejó iniciar el ELIBAGLA en modo norma,así que lo realicé en modo seguro con el siguiente resultado:
Mon Sep 01 12:38:17 2008 Elibagle v.11.66(c)2008 S.G.H./ Satinfo S.L. (Actualizado el 1 Agosto del 2008)
-------------------------------------------
Lista de acciones (por Acción Directa):
Por favor, envíenos una muestra del fichero C:\Muestras\SROSA.SYS.Muestra Elibagle v.11.66 a virus@satinfo.es. Gracias
Por favor, envíenos una muestra del fichero C:\Muestras\HLDRRR.EXE.Muestra Elibagle v.11.66 a virus@satinfo.es. Gracias
C:\Windows\SYSTEM32\DRIVERS\HLDRRR.EXE --- Eliminado Bagle.

Mon Sep 01 12:41:59 2008 Elibagle v.11.66(c)2008 S.G.H./ Satinfo S.L. (Actualizado el 1 Agosto del 2008)
-------------------------------------
Lista de acciones(por exploración):
explorando unidad C:\
Nº Total de Directorios: 22269
Nº Total de Ficheros: 137102
Nº Total de Ficheros analizados: 18443
Nº Total de Ficheros infectados: 0
Nº Total de Ficheros limpiados: 0

Mon Sep 01 13:00:11 2008 Elibagle v.11.66(c)2008 S.G.H./ Satinfo S.L. (Actualizado el 1 Agosto del 2008)
--------------------------------------
Lista de acciones(por exploración):
explorando unidad D:\
Nº Total de Directorios: 16
Nº Total de Ficheros: 187
Nº Total de Ficheros analizados: 3
Nº Total de Ficheros infectados: 0
Nº Total de Ficheros limpiados: 0

Además a medida que se realizaba el escaneo me salían mensajes de este tipo:
acceso denegado a la carpeta: C:\Program Files\Microsoft Windows OneCare Live\ClientSD(16)
C:\Program Files\Microsoft Windows OneCare Live\Database(16)
C:\Windows\registration\CRMLog(16)
C:\Windows\System32\com\dmp(16)
C:\Windows\System32\LogFiles\WMI\RtBackup(16)
C:\Windows\System32\spool\PRINTERS(16)

Por lo demás, sigo sin conexión a Internet, por lo que te pido un poco de paciencia conmigo ya que estoy pasando los reportes manualmente.
Gracias, un saludo.

[belma]

Una pregunta más, ¿cómo puedo enviaros las muestras solicitadas, si estoy accediendo al foro desde un pc diferente al del virus?

Gracias.

[msc hotline sat]

Puedes hacerlo como se indica en

ENVIÓ DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253

o ya que dices no estas en el ordenador en cuestion, emaquetando dichas muestras en un ZIOP o RAR con password VIRUS y anexandolo a un mail dirigido a zonavirus@satinfo.es en el que como ASUNTO indiques tu nick en el foro ("belma")

saludos

ms, 2-09-2008

[belma]

Hola,

el sistema no me dejó iniciar el ELIBAGLA en modo normal,así que lo realicé en modo seguro con el siguiente resultado:

Mon Sep 01 12:38:17 2008 Elibagle v.11.66(c)2008 S.G.H./ Satinfo S.L. (Actualizado el 1 Agosto del 2008)

-------------------------------------------

Lista de acciones (por Acción Directa):

Por favor, envíenos una muestra del fichero C:\Muestras\SROSA.SYS.Muestra Elibagle v.11.66 a virus@satinfo.es. Gracias

Por favor, envíenos una muestra del fichero C:\Muestras\HLDRRR.EXE.Muestra Elibagle v.11.66 a virus@satinfo.es. Gracias

C:\Windows\SYSTEM32\DRIVERS\HLDRRR.EXE --- Eliminado Bagle.



Mon Sep 01 12:41:59 2008 Elibagle v.11.66(c)2008 S.G.H./ Satinfo S.L. (Actualizado el 1 Agosto del 2008)

-------------------------------------

Lista de acciones(por exploración):

explorando unidad C:\

Nº Total de Directorios: 22269

Nº Total de Ficheros: 137102

Nº Total de Ficheros analizados: 18443

Nº Total de Ficheros infectados: 0

Nº Total de Ficheros limpiados: 0



Mon Sep 01 13:00:11 2008 Elibagle v.11.66(c)2008 S.G.H./ Satinfo S.L. (Actualizado el 1 Agosto del 2008)

--------------------------------------

Lista de acciones(por exploración):

explorando unidad D:\

Nº Total de Directorios: 16

Nº Total de Ficheros: 187

Nº Total de Ficheros analizados: 3

Nº Total de Ficheros infectados: 0

Nº Total de Ficheros limpiados: 0



Además a medida que se realizaba el escaneo me salían mensajes de este tipo:

acceso denegado a la carpeta: C:\Program Files\Microsoft Windows OneCare Live\ClientSD(16)

C:\Program Files\Microsoft Windows OneCare Live\Database(16)

C:\Windows\registration\CRMLog(16)

C:\Windows\System32\com\dmp(16)

C:\Windows\System32\LogFiles\WMI\RtBackup(16)

C:\Windows\System32\spool\PRINTERS(16)



Ya he enviado las muestras. Por lo demás, sigo sin conexión a Internet, por lo que te pido un poco de paciencia conmigo ya que estoy pasando los reportes manualmente.

Gracias, un saludo. :?: :?:

[msc hotline sat]

Es muy raro que no pudieras arrancar en modo normal y sí en modo seguro, ya que el Bagle provoca lo contrario, si bien ello podía estar ya resuelto por la ejecucion anterior del ELIBAGLA como vemos que hizo, y solucionado que se pueda arrancar en modo seguro, debería poder arrancar en modo norma, tambien, salvo que hubiera modificado manualmente el BOOT.INI /MSCONFIG para que arrancara en modo seguro... Si lo había hecho, deshagalo, para poder arrancar normalmente.



Hoy entregaremos a proceso todas las muestras el Bagle y haremos un nuevo ELIBAGLA que las controle. Esta tarde, despues de las 7 PM GMT, descarga la nueva verison del ELIBAGLA que ya deberá controlar todas las muestras recibidas (que son muchas)



Saludos



ms, 4-09-2008

[belma]

Gracias por todo, esta tarde intentaré iniciar en modo normal el ELIBAGLA actualizado. No recuerdo haber modificado manualmente nada para acceder con modo seguro, dónde puedo comprobarlo?. Por lo demás, es normal que todavía siga sin conexión?. Este asunto me tiene bastante inquieta.

Gracias, un saludo.

[msc hotline sat]

Bien, hemos implementado el control y eliminacion de sus muestras, junto con otras 6 de otros foreros y 160 mas de otros usuarios, en el ELIBAGLA de hoy 11.67, que estará disponible en esta web a partir de las 19 h GMT, para pruebas de evaluacion en este foro.



Tras probarlo , arranque en modo normal o como pueda y nos cuenta como ha ido, aparte de postearnos el contenido de c:\infosat.txt



saludos



ms, 4-09-2008

[belma]

Hola,

aunque he podido iniciar el ELIBAGLA en modo normal, no me generaba reporte (fichero C:\InfoSat.txt), así que lo he ejecutado de nuevo en modo seguro, con el siguiente resultado:

Fri Sep 05 17:02:43 2008 EliBagle v.11.67 (c)2008 S.G.H.Satinfo S.L. (Actualizado el 4 de Septiembre)

---------------------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Sep 05 17:02:47 2008 EliBagle v.11.67 (c)2008 S.G.H.Satinfo S.L. (Actualizado el 4 de Septiembre)

----------------------------------------------------------

Lista de Acciones (por Exploración):

Explorando unidad C:\

C:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE ---------- Eliminado Bagle.dldr.

Nº Total de Directorios: 21651

Nº Total de Ficheros: 129076

Nº Total de Ficheros analizados: 17864

Nº Total de Ficheros infectados:1

Nº Total de Ficheros limpiados: 1



He reiniciado el sistema y cuando arranco en modo normal sigo sin conexión. ¿es normal? además, durante el escaneo del EliBagla siguen saliendo mensajes de acceso denegado a la carpeta...

Gracias, un saludo.

:?: :?:

[msc hotline sat]

Hay Bagles "resistentes" y tras aplicarlo, comentenos el resultado, gracias

saludos

ms,, 5-09-2008

[belma]

He ejecutado de nuevo el EliBagla V.11.67, primero en modo normal y después en modo seguro, ya no detecta ningún Bagle pero tras reiniciar sigo sin conexión. También he desinstalado el Avast.
Puede ser otro virus??? o, es posible que tenga que configurar de nuevo el Router??. Mi pc parece limpio de virus pero no puedo conectarme a Internet, por favor, ayúdenme.
Gracias, un saludo.

[Claudia34]

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt
http://www.zonavirus.com/descargas/elitriip.asp

Y para complementar (opcional en algunos casos):
viewtopic.php?f=5&t=18469


Y compleméntalo posteándonos el Log del HJT:


HJT: (HiJackThis)

¿Como utilizar el Hijackthis?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/tren ... ckthis.asp
Tras analizarlo, informaremos.
Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.
Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

¿Como arrancar en modo a prueba de fallos?
http://www.zonavirus.com/articulos/como ... fallos.asp

Opcional:


Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.


Y pruebate el kaspersky antivirus online cuando se solucione y tengas conexion a internet, que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia (puede haber alguna otra cosa oculta aunque este solucionado).

https://www.kaspersky.es/downloads/thank-you/free-antivirus-download
Y para el tema de los autorun descargate del siguiente enlace el elipen:
http://www.zonavirus.com/descargas/elipen.asp

Saludos.

[belma]

Gracias por tu información Claudia34, he ejecutado el EliStar, en modo seguro, con el siguiente resultado:
Sat Sep 06 19:59:16 2008 EliStarPage v16.89 (c)2008 S.G.H.Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)
------------------------------------------------------
Lista de Acciones( por Acción Directa):
Sospechosa Clave"HKLM\...\Image File Execution options\IEInstal.exe" "Debugger"="NULL1"

No sé muy bien cómo funciona este programa, pero me ha extrañado mucho que no realizara exploración.
También he ejecutado el EliTriIp, en modo seguro:
Sat Sep 06 20:08:01 2008 EliTriIp v5.04 (c)2008 S.G.H.Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)
----------------------------------------------------------
Lista de Acciones (por Acción Directa):
Sat Sep 06 20:08:07 2008 EliTriIp v5.04 (c)2008 S.G.H.Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)
---------------------------------------------------------
Lista de Acciones (por Exploración):
Explorando unidad C:\
Nº Total de Directorios: 21632
Nº Total de Ficheros: 128814
Nº Total de Ficheros Analizados: 23960
Nº Total de Ficheros Infectados: 0
Nº Total de Ficheros Limpiados: 0
-------------------------------------------------------
Lista de Acciones (Por Exploración):
Explorando unidad D:\
Nº Total de Directorios: 16
Nº Total de Ficheros: 187
Nº Total de Ficheros Analizados: 6
Nº Total de Ficheros Infectados: 0
Nº Total de Ficheros Limpiados: 0

Tras reiniciar, lo único diferente es que ahora me aparece el logo de Internet Explorer junto al reloj...
Gracias, un saludo.

[Claudia34]

Debes dejar que el elistara explore, creo que solo hizo por accion directa le falta por exploracion, cuando lo hayas hecho peganos de vuelta el informe, y ademas cuando tengas conexion a internet escanea con el kaspersky online antivirus y peganos el informe.



Saludos.

[belma]

Hola,

tengo problemas con el [b]EliStar[/b], en [b]modo seguro [/b]me pregunta si deseo limpiar el Host, y tras contestar "Si" no aparece más, no sale la pantalla para realizar la exploración, después en infosat.txt aparece: Sospechosa clave"HKLM\...\Image file execution options\IEInstal.exe" "Debugger"="NULL1".

En [b]modo normal,[/b] sale una pantalla "Restaurando Registro de Sistema" y al rato dice "no responde".

¿qué puedo hacer?,¿qué significa Sospechosa clave...?

Gracias, un saludo.

[lucl]

Limpia temporales y desactiva por un rato el spybot si es que lo tienes. Luego intenta pasar de nuevo elistara y nos comentas, saludos

[belma]

No sé cómo limpiar temporales, ¿cómo lo hago?. No tengo instalado el spybot. Por otro lado,si no puedo ejecutar el Elistara, puedo utilizar el Hijackthis o no es aconsejable??.

Gracias, un saludo.

[lucl]

Usa elitempo para eliminar temporales



http://www.zonavirus.com/datos/descargas/70/elitempo.asp



y el hijackthis si puedes usarlo lo que no debes borrar nada sin estar segura porque puede ser peor el remedio que la enfermedad, saludos

[belma]

Hola de nuevo, tras limpiar ficheros temporales, por fín, he podido ejecutar el [b]EliStart [/b]( aunque en modo seguro, porque en modo normal no me dejaba), resultado:

Mon Sep 08 11:54:50 2008 EliStartPage v16.89 (c)2008 S.G.H. Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------

Lista de Acciones( por Acción Directa):

[b]Sospechosa clave "HKLM\...\Image File Execution Options\IEInstal.exe" "Debugger"="NULL1"[/b]

No ha sido posible abrir IERESET.INF

Eliminadas las páginas de inicio y de búsqueda del IE

Eliminados Ficheros Temporales del IE.

Mon Sep 08 11:55:05 2008 EliStartPage v16.89 (c)2008 S.G.H. Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

-----------------------------------

Lista de Acciones( por Exploración ):

Explorando unidad C:\

C:\Program Files\AcerZone\Acer Plug and Record\Component\CES_PLUGINHOST.DLL --- Eliminado, Adware.Agent BN(TB)

C:\Program Files\Newtech Infosystems\NTI Backup NOW! 4.7\Part32.DLL ------- Eliminado, WinAntivirus Pro 2006(cpl)

Nº Total de Directorios: 21591

Nº Total de Ficheros: 125872

Nº Total de Ficheros Analizados: 28743

Nº Total de Ficheros Infectados: 2

Nº Total de Ficheros Limpiados: 2



Lista de Acciones( por Exploración):

Explorando unidad D:\

Nº Total de Directorios: 16

Nº Total de Ficheros: 187

Nº Total de Ficheros Analizados: 0

Nº Total de Ficheros Infectados: 0

Nº Total de Ficheros Limpiados: 0



Como tras reiniciar seguía sin conexión a Internet, se me ha ocurrido verificar el estado de la conexión a la red y no me no me han aparecido redes, ni siquiera me ha dado la opción de detectar redes inalámbricas, además al comprobar en Cmd Ipconfig, me he llevado la desagradable sorpresa de que me aparece en todos los registros "medios desconectados".

Ya son muchos días y esta situación está acabando con mis nervios...

Gracias, un saludo.

[msc hotline sat]

Al parecer tienes una variante del tristemente famoso Win XP antivirus Pro 2008...



Lanza este AV ONLINE y posteanos el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)





saludos



ms,8-09-2008

[belma]

Hola, sigo sin conexión a Internet en el ordenador afectado,¿cómo puedo lanzar un antivirus on line sin conexión?

Gracias, un saludo. :cry:

[msc hotline sat]

Por si hubiera algo que lo impidiera, prueba arrancando EN MODO SEGURO CON FUNCIONES DE RED...



Sino lo tendremos muy crudo ... :?



saludos



ms, 9-09-2008