FICHEROS C:\ph.com y F:\1U0O8BNQ.CMD en AUTORUN.INF - SOLUCIONADO

[prep]

hola
resulta que parece ser que estoy contaminadisimo de virus o yo que se.
El ordenador me va lento de hace semanas y el avast me comenta constantemente de mover al bahul virus como accion recomendada.
Normalmente uso discos extraibles tanto duros como mecheros de datos.
Uno de los virus que mas sale es el ckvoo y leyendo en un post vi que a traves de msconfig lo podia desactivar.

Luego en un post vuestro relacionado con el ckvo vi que podia utiliar el elistara y el elipen y los he pasado y en el reporte me ponia esto:

Thu Sep 18 11:04:44 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Detectado E:\Autorun.inf
OPEN=1U0O8BNQ.CMD

Thu Sep 18 11:04:55 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Detectado E:\Autorun.inf
OPEN=1U0O8BNQ.CMD
E:\Autorun.inf -> Renombrado a .OLD

Thu Sep 18 11:06:44 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Detectado C:\Autorun.inf
OPEN=PH.COM
C:\Autorun.inf -> Renombrado a .OLD
Unidad C:\ Protegida

Unidad C:\ YA esta Protegida

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Thu Sep 18 11:07:08 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Thu Sep 18 11:07:43 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Thu Sep 18 17:20:28 2008
EliStartPage v16.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Thu Sep 18 17:24:40 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Detectado F:\Autorun.inf
OPEN=1U0O8BNQ.CMD
F:\Autorun.inf -> Renombrado a .OLD
Unidad F:\ Protegida

Thu Sep 18 17:25:20 2008
EliStartPage v16.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"
No detectado SP3 de Windows XP

Thu Sep 18 17:25:56 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad F:\ YA esta Protegida

Unidad F:\ YA esta Protegida

Como puse el reporte en un mensaje que no era el mio pues me comentasteis que:

Pero ya nos puedes ir enviando estos ficheros para analizar, y renombras su extension a .VIR para que no puedan ejecutarse:
C:\ph.com
F:\1U0O8BNQ.CMD

Lo cierto es he mirado en msconfig y vuelve a estar activado el ckvo y los archivos que mencionais no los veo por ningun lado. Tengo quitadas las pestañas de omitir extensiones y ocultar archivos.

Entre los virus que veo y me avisa el avast estan el :
win32:beable-AAW
y otro que pone Root:32
otro: c:\windows\system32\drivers\srosa.sys
otro: c:\windows\system32\drivers\212703.exe

MIrando en el la lista de avast esta esto:

Código: Seleccionar todo

16/07/2008 16:48:13	TENTENPIE	1316	Sign of "Win32:Adan-156 [Adw]" has been found in "c:\archivos de programa\divx\divx pro codec\gain_trickler_3102.exe" file.  
16/07/2008 17:00:57	SYSTEM	484	Sign of "Win32:Horst-AAF [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Mis documentos\progs\Adobe Flash CS3 Professional [esp]\Keygen.exe" file.  
29/07/2008 10:43:04	SYSTEM	1988	Sign of "Win32:Trojan-gen {Other}" has been found in "Correo entrante '18 is not young :)' De: "Ellen" <tempenquiries@prospect-us.co.uk>, Para: <ccounting@culturadenia.com>\photo#1278645409\photo.scr" file.  
08/08/2008 12:12:04	TENTENPIE	1988	Sign of "Win32:Agent-AAZG [Rtk]" has been found in "C:\Archivos de programa\eMule\Incoming\character studio 3ds max 6 crack.zip\24_gui_2.exe" file.  
08/08/2008 12:13:18	TENTENPIE	1988	Sign of "Win32:Agent-AAZG [Rtk]" has been found in "C:\Archivos de programa\eMule\Incoming\character studio 3ds max 6 crack(osloskop.net).zip\24_gui_1.exe" file.  
08/08/2008 12:14:02	TENTENPIE	1988	Sign of "Win32:Agent-AAZG [Rtk]" has been found in "C:\Archivos de programa\eMule\Incoming\character studio 3ds max 6 multilanguage.zip\24_gui_3.exe" file.  
08/08/2008 12:14:11	TENTENPIE	1988	Sign of "Win32:Agent-AAZG [Rtk]" has been found in "C:\Archivos de programa\eMule\Incoming\character studio 3ds max 6 multilanguage\24_gui_3.exe" file.  
08/08/2008 12:14:43	TENTENPIE	1988	Sign of "Win32:Agent-AAZG [Rtk]" has been found in "C:\Archivos de programa\eMule\Incoming\character studio 3ds max 6 multilanguage\24_gui_3.exe" file.  
28/08/2008 15:19:03	SYSTEM	1548	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\SYSTEM32\CKVO0.DLL" file.  
30/08/2008 12:28:04	SYSTEM	1516	Sign of "Win32:Trojan-gen {Other}" has been found in "F:\c9hehpa.bat" file.  
01/09/2008 9:24:04	SYSTEM	1504	Sign of "Win32:Trojan-gen {Other}" has been found in "E:\c9hehpa.bat" file.  
01/09/2008 19:49:15	SYSTEM	1556	Sign of "Win32:Trojan-gen {Other}" has been found in "F:\c9hehpa.bat" file.  
01/09/2008 19:58:11	SYSTEM	1556	Sign of "Win32:Trojan-gen {Other}" has been found in "F:\c9hehpa.bat" file.  
01/09/2008 23:24:36	SYSTEM	1452	Sign of "Win32:Trojan-gen {Other}" has been found in "E:\c9hehpa.bat" file.  
02/09/2008 9:09:55	SYSTEM	1452	Sign of "Win32:Trojan-gen {Other}" has been found in "F:\c9hehpa.bat" file.  
02/09/2008 11:29:00	SYSTEM	1460	Sign of "Win32:Trojan-gen {Other}" has been found in "F:\c9hehpa.bat" file.  
03/09/2008 9:37:42	SYSTEM	1348	Sign of "Win32:Trojan-gen {Other}" has been found in "F:\c9hehpa.bat" file.  
05/09/2008 10:46:23	SYSTEM	1452	Sign of "Win32:Trojan-gen {Other}" has been found in "E:\c9hehpa.bat" file.  
05/09/2008 16:01:27	SYSTEM	1452	Sign of "Win32:Trojan-gen {Other}" has been found in "E:\c9hehpa.bat" file.  
06/09/2008 13:19:11	SYSTEM	1524	Sign of "Win32:Trojan-gen {Other}" has been found in "F:\c9hehpa.bat" file.  
09/09/2008 17:09:09	TENTENPIE	1532	AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\Documents and Settings\TENTENPIE\Mis documentos\curro\acelobert\def sept\SEC 2-5\ACOPLAR.max (C:\Documents and Settings\TENTENPIE\Mis documentos\curro\acelobert\def sept\SEC 2-5\ACOPLAR.max) returning error, 00000005.  
10/09/2008 0:37:33	SYSTEM	1552	Sign of "Win32:Trojan-gen {Other}" has been found in "E:\c9hehpa.bat" file.  
10/09/2008 13:23:51	SYSTEM	1552	Sign of "Win32:Trojan-gen {Other}" has been found in "E:\c9hehpa.bat" file.  
11/09/2008 13:45:58	SYSTEM	1452	Sign of "Win32:Trojan-gen {Other}" has been found in "E:\c9hehpa.bat" file.  
11/09/2008 18:09:07	SYSTEM	1452	Sign of "Win32:Trojan-gen {Other}" has been found in "E:\c9hehpa.bat" file.  
12/09/2008 0:48:15	SYSTEM	1452	Sign of "Win32:Trojan-gen {Other}" has been found in "E:\c9hehpa.bat" file.  
12/09/2008 1:35:25	SYSTEM	1452	Sign of "Win32:Trojan-gen {Other}" has been found in "F:\c9hehpa.bat" file.  
12/09/2008 9:39:53	SYSTEM	1448	Sign of "Win32:Trojan-gen {Other}" has been found in "F:\c9hehpa.bat" file.  
12/09/2008 13:07:12	SYSTEM	1448	Sign of "Win32:Trojan-gen {Other}" has been found in "E:\c9hehpa.bat" file.  
15/09/2008 12:19:58	SYSTEM	1960	Sign of "Win32:Monga [Trj]" has been found in "C:\WINDOWS\SYSTEM32\CKVO0.DLL" file.  
15/09/2008 12:28:30	TENTENPIE	2536	Sign of "Win32:Monga [Trj]" has been found in "c:\ph.com" file.  
15/09/2008 15:10:35	SYSTEM	1960	Sign of "Win32:Monga [Trj]" has been found in "E:\c9hehpa.bat" file.  
15/09/2008 17:38:48	SYSTEM	1960	Sign of "Win32:Monga [Trj]" has been found in "C:\WINDOWS\SYSTEM32\CKVO0.DLL" file.  
17/09/2008 8:56:47	SYSTEM	2020	Sign of "SWF:CVE-2007-0071 [Expl]" has been found in "http://pagead2.googlesyndication.com/pagead/imgad?id=CMW5tPuLk4v_zAEQ2AUYWjIIZqDbE4-somI" file.  
17/09/2008 14:26:25	TENTENPIE	2064	Sign of "Win32:Rootkit-gen [Rtk]" has been found in "f:\1u0o8bnq.cmd" file.  
17/09/2008 20:33:17	TENTENPIE	3908	Sign of "Win32:Bifrose-CIQ [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Configuración local\Temp\WER8584.dir00\3dsmax.exe.hdmp" file.  
17/09/2008 21:05:06	TENTENPIE	1192	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Archivos de programa\eMule\Incoming\LipSync_MX_2.0.3_[With_Crack](2).zip\LipSync_MX_2.0.3_[With_Crack].exe" file.  
18/09/2008 10:36:59	TENTENPIE	1808	Sign of "Win32:Beagle-AAW [Trj]" has been found in "C:\WINDOWS\system32\drivers\srosa.sys" file.  
18/09/2008 10:37:22	TENTENPIE	1808	Sign of "Win32:Beagle-AFX [Wrm]" has been found in "C:\WINDOWS\system32\drivers\downld\2008078.exe" file.  
18/09/2008 10:40:30	TENTENPIE	1668	Sign of "Win32:Beagle-AAW [Trj]" has been found in "C:\WINDOWS\system32\drivers\srosa.sys" file.  
18/09/2008 10:45:54	TENTENPIE	1668	Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\downld\400437.exe" file.  
18/09/2008 10:46:34	TENTENPIE	1668	Sign of "Win32:Beagle-AFX [Wrm]" has been found in "C:\WINDOWS\system32\drivers\downld\441109.exe" file.  
18/09/2008 11:01:18	TENTENPIE	1668	Sign of "Win32:Small-CPR [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Configuración local\Archivos temporales de Internet\Content.IE5\4D63KTI3\ELISTARA.BG%D8IB%D8%D8H[1].EXE\[UPX]" file.  
18/09/2008 11:02:07	TENTENPIE	1668	Sign of "Win32:Small-CPR [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Mis documentos\progs\antiviurs\ELISTARA.BGIBH.EXE\[UPX]" file.  
18/09/2008 11:02:45	TENTENPIE	1668	Sign of "Win32:Small-CPR [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Configuración local\Archivos temporales de Internet\Content.IE5\4D63KTI3\ELISTARA.BG%D8IB%D8%D8H[1].EXE\[UPX]" file.  
18/09/2008 11:02:48	TENTENPIE	1668	Sign of "Win32:Small-CPR [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Mis documentos\progs\antiviurs\ELISTARA.BGIBH.EXE\[UPX]" file.  
18/09/2008 11:03:20	TENTENPIE	1668	Sign of "Win32:Small-CPR [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Mis documentos\progs\antiviurs\ELISTARA.BGIBH.EXE\[UPX]" file.  
18/09/2008 14:18:27	TENTENPIE	2616	Sign of "Win32:Beagle-AFX [Wrm]" has been found in "C:\Documents and Settings\TENTENPIE\Configuración local\Archivos temporales de Internet\Content.IE5\4D63KTI3\b64_3[1].jpg" file.  
18/09/2008 14:48:21	TENTENPIE	1668	Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\downld\14947625.exe" file.  
18/09/2008 14:53:26	TENTENPIE	2616	Sign of "Win32:Beagle-AFX [Wrm]" has been found in "C:\Documents and Settings\TENTENPIE\Configuración local\Archivos temporales de Internet\Content.IE5\8DQ3SX6N\b64_3[1].jpg" file.  
18/09/2008 14:53:36	TENTENPIE	1668	Sign of "Win32:Beagle-AFX [Wrm]" has been found in "C:\WINDOWS\system32\drivers\downld\15260781.exe" file.  
18/09/2008 14:53:54	TENTENPIE	2616	Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\Documents and Settings\TENTENPIE\Configuración local\Archivos temporales de Internet\Content.IE5\KP2FGXAR\b64_2[1].jpg" file.  
18/09/2008 14:54:02	TENTENPIE	2616	Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\Documents and Settings\TENTENPIE\Configuración local\Archivos temporales de Internet\Content.IE5\OXM7C5IB\b64_2[1].jpg" file.  
18/09/2008 15:05:54	TENTENPIE	2616	Sign of "Win32:Bifrose-CIQ [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Configuración local\Temp\WER8584.dir00\3dsmax.exe.hdmp" file.  
18/09/2008 16:21:18	TENTENPIE	2616	Sign of "Win32:Downloader-BJP [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Mis documentos\curro\acelobert\7agost\recursos mov\Download 3d max bvh Faster with BitTorrent downloader.zip\BitTorrent_Downloader_1307_MS_DW_0299.EXE\%MAINDIR%\DWbrk01.exe" file.  
18/09/2008 17:17:44	TENTENPIE	1668	Sign of "Win32:Small-CPR [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Mis documentos\progs\antiviurs\ELISTARA.BGIBH.EXE\[UPX]" file.  
18/09/2008 17:18:10	TENTENPIE	1668	Sign of "Win32:Small-CPR [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Configuración local\Archivos temporales de Internet\Content.IE5\4PMBSLUZ\ELISTARA.BG%D8IB%D8%D8H[1].EXE\[UPX]" file.  
18/09/2008 17:18:55	TENTENPIE	1668	Sign of "Win32:Small-CPR [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Mis documentos\progs\antiviurs\ELISTARA.BGIBH.EXE\[UPX]" file.  
18/09/2008 17:20:54	TENTENPIE	1668	Sign of "Win32:Small-CPR [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Mis documentos\progs\antiviurs\ELISTARA.BGIBH.EXE\[UPX]" file.  
18/09/2008 19:31:06	TENTENPIE	2616	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\TENTENPIE\Mis documentos\plugins 3d\CAT Character Animation Toolkit v1.151 for 3DSMAX v6 x-PARADOX by efish.rar\paradox.exe" file.  
19/09/2008 8:38:02	TENTENPIE	1572	Sign of "Win32:Beagle-AAW [Trj]" has been found in "C:\WINDOWS\system32\drivers\srosa.sys" file.  
19/09/2008 8:38:19	TENTENPIE	1572	Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\downld\75171.exe" file.  
19/09/2008 8:38:37	TENTENPIE	1572	Sign of "Win32:Beagle-AFX [Wrm]" has been found in "C:\WINDOWS\system32\drivers\downld\93609.exe" file.  
19/09/2008 8:38:46	TENTENPIE	1572	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\drivers\downld\104250.exe" file.  
19/09/2008 11:15:15	TENTENPIE	1664	Sign of "Win32:Beagle-AGB [Wrm]" has been found in "C:\WINDOWS\system32\wintems.exe" file.  
19/09/2008 11:15:40	TENTENPIE	1664	Sign of "Win32:Beagle-AAW [Trj]" has been found in "C:\WINDOWS\system32\drivers\srosa.sys" file.  
19/09/2008 11:18:08	TENTENPIE	1664	Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\downld\253734.exe" file.  
19/09/2008 11:18:26	TENTENPIE	1664	Sign of "Win32:Beagle-AFX [Wrm]" has been found in "C:\WINDOWS\system32\drivers\downld\272328.exe" file.  
19/09/2008 11:18:56	TENTENPIE	1664	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\drivers\downld\301453.exe" file.  
19/09/2008 11:25:47	TENTENPIE	1656	Sign of "Win32:Beagle-AAW [Trj]" has been found in "C:\WINDOWS\system32\drivers\srosa.sys" file.  
19/09/2008 11:26:29	TENTENPIE	1656	Sign of "Win32:Beagle-AFX [Wrm]" has been found in "C:\WINDOWS\system32\drivers\downld\136140.exe" file.  
19/09/2008 11:42:22	TENTENPIE	1652	Sign of "Win32:Beagle-AAW [Trj]" has been found in "C:\WINDOWS\system32\drivers\srosa.sys" file.  
19/09/2008 11:43:17	TENTENPIE	1652	Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\downld\137500.exe" file.  
19/09/2008 11:43:32	TENTENPIE	1652	Sign of "Win32:Beagle-AGI [Wrm]" has been found in "C:\WINDOWS\system32\drivers\downld\154453.exe" file.  
19/09/2008 12:23:59	TENTENPIE	1664	Sign of "Win32:Beagle-AAW [Trj]" has been found in "C:\WINDOWS\system32\drivers\srosa.sys" file.  
19/09/2008 12:24:33	TENTENPIE	1664	Sign of "Win32:Beagle-AFX [Wrm]" has been found in "C:\Documents and Settings\TENTENPIE\Configuración local\Archivos temporales de Internet\Content.IE5\KP2FGXAR\b64_3[1].jpg" file.  
19/09/2008 12:24:39	TENTENPIE	1664	Sign of "Win32:Beagle-AFX [Wrm]" has been found in "C:\WINDOWS\system32\drivers\downld\146140.exe" file.  
19/09/2008 12:24:45	TENTENPIE	1664	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\drivers\downld\156812.exe" file.  
19/09/2008 12:46:10	TENTENPIE	1664	Sign of "Win32:Small-CPR [Trj]" has been found in "C:\Documents and Settings\TENTENPIE\Mis documentos\progs\antiviurs\ELISTARA.BGIBH.EXE\[UPX]" file.  
19/09/2008 14:36:53	TENTENPIE	1644	Sign of "Win32:Beagle-AAW [Trj]" has been found in "C:\WINDOWS\system32\drivers\srosa.sys" file.  
19/09/2008 14:38:43	TENTENPIE	1644	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\drivers\downld\212703.exe" file.  

[/color]

Y una ultima cosa el programita elistara desaparece de la carpeta donde esta ya que me parece que el avast lo reconoce como virus.

¿Hay algun modo de limpiar todo el ordenador y los discos duros?

[flacoroo]

tienes un virus llamado bagle......bajate este programita y lo ejecutas....[url=http://www.zonavirus.com/descargas/elibagla.asp]Descargar Elibagla[/url]...lo ejecutas en modo normal y despues en modo seguro, y en cuanto a Elistara tu antivirus lo toma como postivo, cuando estes en modo seguro ejecutalo y deshabilita tu antivirus por lo mientras......

[prep]

tienes un virus llamado bagle......bajate este programita y lo ejecutas....Descargar Elibagla...lo ejecutas en modo normal y despues en modo seguro, y en cuanto a Elistara tu antivirus lo toma como postivo, cuando estes en modo seguro ejecutalo y deshabilita tu antivirus por lo mientras......

¿a que te refieres con...."que va despues de por lo mientras...."
¿ek ekubabla me solucionara lo de todos los virus ckvo.... o solo lo del bagle

[prep]

socorro....

He puesto el elibagla y todo ok

Luego he ido al msconfig y he activado la casilla /SAFEBOOT en pestaña BOOT.INI

y ahora cuando inicia me pregunta si quiero en modo seguro o normal o ultima configuracion que funciono....

pero todas vuelve a reiniciar el sistema y no puedo entrar en windows

[msc hotline sat]

Aparte del Bagle, que el ELIBAGLA ya ha dado cuenta de él, tienes virus en los pendrive, que volverán a infectar el ordenador en cuantos los uses en el mismo:

E:\Autorun.inf OPEN=1U0O8BNQ.CMD
1U0O8BNQ.CMD F:\Autorun.inf

Aparte, también en C:

Detectado C:\Autorun.inf C:\PH.COM

envianos dichas muestras para poder controlarlas en las proximas versiones de nuestras utiulidades...


Aparte, prueba la actual version del ELISTARA, 17.00 (primero desactiva tu antivirus !!!, o arranca en modo seguro para ello) y tras reiniciar, nos posteas el informe resultante:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 19-09-2008

[pepeta]

como comento dos post mas arriba... ya no puedo ni abrir windows

[msc hotline sat]

Claro ! quien le ha dicho que hiciera lo que dice haber hecho ??? "Luego he ido al msconfig y he activado la casilla /SAFEBOOT en pestaña BOOT.INI"

Es justamente lo que tantas veces hemos avisado que no se haga !!!

[prep]

Por [b][i]favor[/i][/b]...

¿Hay alguna solucion?

[msc hotline sat]

No habia acabdo mi post, estaba buscando links, mira lo que decimos en:

viewtopic.php?f=5&t=25647


Simplemente es volver a dejarlo como estaba, pero claro, lo has de hacer sin arancar con el disco duro, para lo que te vale:
Colocarlo como esclavo de otro
Arrancar con el CD de instalacion de windows
Arrancar con un live CD de LINUX



Espero que te sirva lo indicado... y otra vez pregunta antes de tocar algo

saludos
ms, 19-09-2008

[prep]

OKKK
Muchas gracias, ya arregle la metida de pata y ya me va el ordenata
Pero debo seguir con la reparacion de virus.

Mi siguiente paso a sido descargarme la version del elistara y lo he pasado y me ha reportado esto:

Thu Sep 18 11:04:44 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Detectado E:\Autorun.inf
OPEN=1U0O8BNQ.CMD

Thu Sep 18 11:04:55 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Detectado E:\Autorun.inf
OPEN=1U0O8BNQ.CMD
E:\Autorun.inf -> Renombrado a .OLD

Thu Sep 18 11:06:44 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Detectado C:\Autorun.inf
OPEN=PH.COM
C:\Autorun.inf -> Renombrado a .OLD
Unidad C:\ Protegida

Unidad C:\ YA esta Protegida

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Thu Sep 18 11:07:08 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Thu Sep 18 11:07:43 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Thu Sep 18 17:20:28 2008
EliStartPage v16.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Thu Sep 18 17:24:40 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Detectado F:\Autorun.inf
OPEN=1U0O8BNQ.CMD
F:\Autorun.inf -> Renombrado a .OLD
Unidad F:\ Protegida

Thu Sep 18 17:25:20 2008
EliStartPage v16.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"
No detectado SP3 de Windows XP

Thu Sep 18 17:25:56 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad F:\ YA esta Protegida

Unidad F:\ YA esta Protegida

Fri Sep 19 12:46:21 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad D:\ Protegida

Detectado E:\Autorun.inf
OPEN=C9HEHPA.BAT
E:\Autorun.inf -> Renombrado a .OLD
Unidad E:\ Protegida

Fri Sep 19 15:56:01 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Fri Sep 19 15:56:36 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Sep 19 15:57:08 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Sep 19 15:57:11 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Fri Sep 19 15:58:18 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Sep 19 15:58:22 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Fri Sep 19 15:59:03 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Sep 19 15:59:11 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Fri Sep 19 19:10:52 2008
EliStartPage v17.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Entrada Eliminada [HKCU\...\Run] "kamsoft"="C:\WINDOWS\system32\ckvo.exe"
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Por otro lado, he visto que me comentabais que os enviase unas muestras de esto
E:\Autorun.inf
OPEN=1U0O8BNQ.CMD

1U0O8BNQ.CMD
F:\Autorun.inf

Aparte, tambien en C:

Detectado C:\Autorun.inf
C:\PH.COM

Pero busco y no los encuetro.
¿Quizas deberia hacer eso que he hecho con el boot.ini?
o sea...
ATTRIB C:\BOOT.INI -H -S <ENTER pero con los archivos...que comentas?¿ y luego os lo envio como rar comprimido con contraseña. ¿es correcto? lo digo para no volver a cagarla

muchas gracias por la ayuda.

[msc hotline sat]

Sí, pero fíjate que este F:\1U0O8BNQ.CMD está en un pendrive que insertastes en el USB F: , pero el AUTORUN.INF ya estará renombrado a AUTORUN.OLD, envianoslo igualmente.



Y el otro es de C:\PH.COM, y el AUTORUN.INF tambien estará renombrado a .old:



Detectado C:\Autorun.inf

OPEN=PH.COM

C:\Autorun.inf -> Renombrado a .OLD



Bueno, pues a ver como te portas ... Y las meteduras de pata son experiencias ! :wink:



saludos



ms, 19-09-2008

[prep]

Bueno, acabo de enviaros las muestras que he encontrado.

Os he enviado las de C, y las de un mechero de datos que utilizo y de un disco extraible.

Todos tienen como contraseña prep



El elemento C:\PH.COM no consigo visualizarlo, ni tampoco C:\PH.COM.old ni C:\PH.old

Lo cierto es que ahora ya no me dice nada de virus y el ckvo no parece aparecer por ningun lado ni en el msconfig



¿debo de hacer alguna otra cosa con el elistara o elipen?

¿Debo enviaros algun reporte?

Muchas gracias por la ayuda. Sois unos genios

[msc hotline sat]

Las muestras deben cifrarse con contraseña "Virus" sino los de procesos no las van a poder desempaquetar.



Si me lo preguntan ya les diré que en este caso prueben con prep, pero tenlo en cuenta para otra vez



Implementaremos su control y eliminacion en el ELISTARA de hoy 17.01 que subiremos a esta web para pruebas de evaluacion a partir de las 19 h GMT



Pruebalo entonces y nos cuentas el resultado, gracias



saludos



ms, 22-09-2008

[prep]

Tras pasar el elistarA del 22/09/2008 version 17.01
al disco duro C, al extraible F y al mechero de datos E me aparece el siguiente reporte
me sale el siguiente reporte

Thu Sep 18 11:04:44 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Detectado E:\Autorun.inf
OPEN=1U0O8BNQ.CMD

Thu Sep 18 11:04:55 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Detectado E:\Autorun.inf
OPEN=1U0O8BNQ.CMD
E:\Autorun.inf -> Renombrado a .OLD

Thu Sep 18 11:06:44 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Detectado C:\Autorun.inf
OPEN=PH.COM
C:\Autorun.inf -> Renombrado a .OLD
Unidad C:\ Protegida

Unidad C:\ YA esta Protegida

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Thu Sep 18 11:07:08 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Thu Sep 18 11:07:43 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Thu Sep 18 17:20:28 2008
EliStartPage v16.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Thu Sep 18 17:24:40 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Detectado F:\Autorun.inf
OPEN=1U0O8BNQ.CMD
F:\Autorun.inf -> Renombrado a .OLD
Unidad F:\ Protegida

Thu Sep 18 17:25:20 2008
EliStartPage v16.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"
No detectado SP3 de Windows XP

Thu Sep 18 17:25:56 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad F:\ YA esta Protegida

Unidad F:\ YA esta Protegida

Fri Sep 19 12:46:21 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad D:\ Protegida

Detectado E:\Autorun.inf
OPEN=C9HEHPA.BAT
E:\Autorun.inf -> Renombrado a .OLD
Unidad E:\ Protegida

Fri Sep 19 15:56:01 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Fri Sep 19 15:56:36 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Sep 19 15:57:08 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Sep 19 15:57:11 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Fri Sep 19 15:58:18 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Sep 19 15:58:22 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Fri Sep 19 15:59:03 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Sep 19 15:59:11 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Fri Sep 19 19:10:52 2008
EliStartPage v17.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Entrada Eliminada [HKCU\...\Run] "kamsoft"="C:\WINDOWS\system32\ckvo.exe"
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Mon Sep 22 08:20:20 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad C:\ YA esta Protegida

Detectado D:\Autorun.inf
OPEN=SETUP.EXE
D:\Autorun.inf -> Renombrado a .OLD
Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Mon Sep 22 10:46:38 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad F:\ YA esta Protegida

Mon Sep 22 20:11:37 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminados Ficheros Temporales del IE

Mon Sep 22 20:12:09 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular
C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek
C:\Documents and Settings\TENTENPIE\Escritorio\mundo\Applications\QT\QUICKTIMEFULLINSTALLER.EXE --> Eliminado, PWCrack-Pwdump(dropper)

Nº Total de Directorios: 8423
Nº Total de Ficheros: 115782
Nº de Ficheros Analizados: 48829
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 3
Exploración Detenida por el Usuario.

Tue Sep 23 08:50:49 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Sep 23 08:51:28 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\TENTENPIE\Mis documentos\curro\acelobert\7agost\suelo\Ver\Drivers\Audio\32bit\2k_xp\Wdm\ALCMTR.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 16985
Nº Total de Ficheros: 230618
Nº de Ficheros Analizados: 67703
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Tue Sep 23 09:07:51 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Sep 23 09:08:03 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\seguridaddiscopep\Archivos de programa\Ontrack\EasyRecovery Professional del Ensayo\DIAGS.DLL --> Eliminado, CommanderNET (TB)

Nº Total de Directorios: 26861
Nº Total de Ficheros: 387471
Nº de Ficheros Analizados: 30995
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Tue Sep 23 09:27:13 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

Tue Sep 23 09:27:24 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
E:\1U0O8BNQ.CMD --> Eliminado, PWS-OnLineGames.CKVO
E:\Nueva carpeta\KEYGEN.EXE --> Eliminado, KeyGen.ZWT

Nº Total de Directorios: 13
Nº Total de Ficheros: 106
Nº de Ficheros Analizados: 10
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2



gracias

[msc hotline sat]

Aparte de lo ya controlado, con la actual version del ELIBAGLA 11.75 (que no has probado) ya controlamos una de las muestras, y otra del ONLINE GAMES, aparte del ya controlado, pasamos a controlarla con el ELISTARA que estamos haciendo hoy, 17.02, que subiremos esta tarde a esta web para pruebas de evaluación.



saludos



ms, 23-09-2008

[msc hotline sat]

NOTA: POR URGENCIAS DE CLIENTES SE HAN COMPILADO ESTE MEDIODIA LAS VERSIONES ELISTARA 17.02 Y ELIBAGLA 11.76, LAS CUALES YA SE HAN SUBIDO A ESTA WEB PARA EVALUACION.



PUEDES PROBARLAS YA.



ms.

[prep]

Ok el reporte es:


Thu Sep 18 11:04:44 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------
Detectado E:\Autorun.inf
OPEN=1U0O8BNQ.CMD

Thu Sep 18 11:04:55 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------
Detectado E:\Autorun.inf
OPEN=1U0O8BNQ.CMD
E:\Autorun.inf -> Renombrado a .OLD

Thu Sep 18 11:06:44 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
-----------------------------------------
Detectado C:\Autorun.inf
OPEN=PH.COM
C:\Autorun.inf -> Renombrado a .OLD
Unidad C:\ Protegida

Unidad C:\ YA esta Protegida

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Thu Sep 18 11:07:08 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Thu Sep 18 11:07:43 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Thu Sep 18 17:20:28 2008
EliStartPage v16.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Thu Sep 18 17:24:40 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Detectado F:\Autorun.inf
OPEN=1U0O8BNQ.CMD
F:\Autorun.inf -> Renombrado a .OLD
Unidad F:\ Protegida

Thu Sep 18 17:25:20 2008
EliStartPage v16.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"
No detectado SP3 de Windows XP

Thu Sep 18 17:25:56 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad F:\ YA esta Protegida

Unidad F:\ YA esta Protegida

Fri Sep 19 12:46:21 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad D:\ Protegida

Detectado E:\Autorun.inf
OPEN=C9HEHPA.BAT
E:\Autorun.inf -> Renombrado a .OLD
Unidad E:\ Protegida

Fri Sep 19 15:56:01 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Fri Sep 19 15:56:36 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Sep 19 15:57:08 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Sep 19 15:57:11 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Fri Sep 19 15:58:18 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Sep 19 15:58:22 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Fri Sep 19 15:59:03 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Sep 19 15:59:11 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Fri Sep 19 19:10:52 2008
EliStartPage v17.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Entrada Eliminada [HKCU\...\Run] "kamsoft"="C:\WINDOWS\system32\ckvo.exe"
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Mon Sep 22 08:20:20 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad C:\ YA esta Protegida

Detectado D:\Autorun.inf
OPEN=SETUP.EXE
D:\Autorun.inf -> Renombrado a .OLD
Error Creando TEST2.SAT
Unidad D:\ No se Pudo Proteger

Mon Sep 22 10:46:38 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad F:\ YA esta Protegida

Mon Sep 22 20:11:37 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminados Ficheros Temporales del IE

Mon Sep 22 20:12:09 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular
C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek
C:\Documents and Settings\TENTENPIE\Escritorio\mundo\Applications\QT\QUICKTIMEFULLINSTALLER.EXE --> Eliminado, PWCrack-Pwdump(dropper)

Nº Total de Directorios: 8423
Nº Total de Ficheros: 115782
Nº de Ficheros Analizados: 48829
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 3
Exploración Detenida por el Usuario.

Tue Sep 23 08:50:49 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Sep 23 08:51:28 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\TENTENPIE\Mis documentos\curro\acelobert\7agost\suelo\Ver\Drivers\Audio\32bit\2k_xp\Wdm\ALCMTR.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 16985
Nº Total de Ficheros: 230618
Nº de Ficheros Analizados: 67703
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Tue Sep 23 09:07:51 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Sep 23 09:08:03 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\seguridaddiscopep\Archivos de programa\Ontrack\EasyRecovery Professional del Ensayo\DIAGS.DLL --> Eliminado, CommanderNET (TB)

Nº Total de Directorios: 26861
Nº Total de Ficheros: 387471
Nº de Ficheros Analizados: 30995
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Tue Sep 23 09:27:13 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

Tue Sep 23 09:27:24 2008
EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
E:\1U0O8BNQ.CMD --> Eliminado, PWS-OnLineGames.CKVO
E:\Nueva carpeta\KEYGEN.EXE --> Eliminado, KeyGen.ZWT

Nº Total de Directorios: 13
Nº Total de Ficheros: 106
Nº de Ficheros Analizados: 10
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Tue Sep 23 17:10:58 2008
EliBagle v11.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\Drivers\HLDRRR.EXE.VIR --> Eliminado

Tue Sep 23 17:11:09 2008
EliStartPage v17.02 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Sep 23 17:11:21 2008
EliStartPage v17.02 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 19804
Nº Total de Ficheros: 257540
Nº de Ficheros Analizados: 68724
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Tue Sep 23 17:55:18 2008
EliStartPage v17.02 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\PH.COM --> Eliminado, PWS-OnLineGames.CKVO

Nº Total de Directorios: 26861
Nº Total de Ficheros: 387470
Nº de Ficheros Analizados: 30994
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Tue Sep 23 18:15:16 2008
EliBagle v11.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Sep 23 18:15:17 2008
EliBagle v11.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\29804656.EXE --> Eliminado Bagle

Nº Total de Directorios: 19805
Nº Total de Ficheros: 258108
Nº de Ficheros Analizados: 16487
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Tue Sep 23 19:01:27 2008
EliBagle v11.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios: 26861
Nº Total de Ficheros: 387469
Nº de Ficheros Analizados: 4360
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues tras reiniciar dinos si persiste alguna anomalia o ya podemos dar por solucionado el Tema, gracias



saludos



ms, 24-09-2008





NO TE OLVIDES DE EXPLORAR CON EL EL ELISTARA TODAS LAS UNIDADES DE PENDRIVE... (INCLUIDA LA MAQUINA DE FOTOS ELECTRONICA SI TIENES -su memoria SD es un pendrive-)



ms.

[prep]

OK, ante todo muchas gracias por la ayuda
Parece pues que ya he limpiado toda la machine.

Solo 2 cosas mas:
1- La primera es que debo de hacer con los archivos Autorun.inf.old, infosat.txt...y demas archivos que os he mandado como muestras. ¿los elimino?
2- Una de las cosas que me parecian que realizaban los virus era ocuparme la memoria con lo cual se ralentizaba el sistema.
De hecho ahora parece que ya no va lento, pero miro el administrador de tareas teniendo simplemente el explorador donde os escribo abierto y me aparece que estoy utilizando 500 megas de ram. (Si hasta hace dos dias los ordenadores tenian como mucho 500 de ram....)

Os pongo los procesos y la memoria del administrador de tareas por si me podeis comentar si es normal o es debido a alguno de los virus. Esta en archivo adjunto.
Muchas gracias

[flacoroo]

por lo que veo en tus imagenes esta todo correcto

[msc hotline sat]

Las aplicaciones de windows cada día ocupan mas memoria.



Y en funcion de los procesos que tengas abiertos y los residentes, estos 500 Mb se alcanzan enseguida.



Cierto lo que dices, pero de los 512 MB de RAM ya no se habla hoy en día, ahora todos los ordenadores ya salen con 2 o 4 GB ...



Entendemos que es correcto, y si dices que todo ya va bien, damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes dond eestamos



saludos



ms, 24-09-2008

[prep]

Una ultima cosa antes de cerrar el tema:

¿que debo de hacer con los archivos Autorun.inf.old, infosat.txt...y demas archivos que os he mandado como muestras?

¿los elimino?

¿Y los de sistema que quite el oculto lo vuelvo a ocultar?

tras esto cerrar el tema

[msc hotline sat]

Son históricos que no te molestan para nada, y puede darnos información de lo que has tenido y hecho en consecuencia, por lo que no vemos la necesidad de borrarlos, mas bien al contrario, salvo que quieras olvidarte del pasado
Dejalo como está, igual los ficheros ocultos y las extensiones, mejor que se vean, asi facilitan las cosas y no se pierde el tiempo.

Y paso a cerrar el Tema, si nos necesutas de nuevo, ya sabes donde estamos.

saludos
ms,25-09-2008