VIRUS INTRATABLE (SOLUCIONADO)

[infectao]

HOLA



Bueno mi problema es ke al descargarme un programa con emule, me ha entrado un virus muy dificil de quitar



El rpblema es que este virus me impide instalar cualquier tipo de antivirus, cada vez que lo intento instalar me da un error, he probado con varios de prueba por internet y no me deja.



Los antivirus online tampoco lo quitan, bueno he rpobado con el panda, el bitdefender, solo me han quitado 4 chorradas de archivos temporales. El panda si kiero hacer el analisis rapido, tmb se me cuelga



El virus nada mas entrar me desactivo el avast en plan bestia y m reinicio el pc. El avast solo dio varios mensajes de error mientras se desactivaba



El caso es k ya no se si solo me keda que formatear



Una impresion mia es ke el virus esta instalado o relacionado con el taskmgr.exe que me ocupa, con altibajos el 100 de la ram



un saludo y gracias

[msc hotline sat]

Prueba estas tres utilidades:


[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos


[/quote]

saludos



ms, 26-1-2009

[infectao]

perdona como encuentro eso de c:\infosat.txt? es algun archivo? no lo encuentro.... no estoy muy la dia de estas cosas........

[julibaga]

Está en MiPc -> Unidad C:

Ahí lo debers encontrar. Se llama infosat.txt

le das doble click para que abra, seleccionas todo el contenido y lo pegas en el siguiente post

[infectao]

pues no esta... y he ejecutado los 3 archivos que me habeis comentado y reiniciado el pc

[infectao]

por cierto en el administrador de tareas, de repente me salen archivos .exe ... con un nombre numerico, como 400437.exe

y algunos numeros mas .exe



Se ejecuntan solos, salen y se van, me ocupan cas el 100% del cpu ............

[julibaga]

Arranca la computadora en modo a prueba de fallos con opciones de red y ejecuta las tres utilidades que te mencionaron otra vez. A ver si así te deja y nos posteas el infosat.txt

[msc hotline sat]

Si persiste el problema, lanza este AV ONLINE y posteanos el informe resultante:







http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludos



ms, 27-1-2009









NOTA: Y si tiene unidad C:, Vaya a MIPC, seleccione unidad C:, verá el fichero infosat.txt, pulse doble click en él, seleccione todo su contenido con CTRL_E, copielo al portapapeles con CTRL_C y peguelo a su proximo post de respuesta a este Tema con CTRL_V. ms.

[lucl]

Puedes buscar el infosat dando en inicio------buscar y alli escribes [b]infosat.txt [/b] y te diras donde lo tienes. Y si fuera el caso de que tu disco duro no se llame C, vuelve a ejecutar los programas pero seleccionando la letra de tu disco duro, saludos

[msc hotline sat]

Y envianos el fichero / ficheros que decias que te aparecían:



[b][i]como 400437.exe

y algunos numeros mas .exe[/i][/b]





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-1-2009

[msc hotline sat]

Y al respecto del infosat.txt que no encuentra, por si lo que pasara es que no dispone de unidad C:, y logicamente no se puede crear dicho fichero, hay una manera facil de cambiar la letra a una unidad, para asi poder decirle que sea C: y disponer del fichero de salida de nuestras utilidades como el ELISTARA.EXE, en C:\Infosat.txt :


[quote="Para cambiar letra de unidad, si no se tiene unidad C, por ejemplo, msc"]


Pulsar con el botón derecho del mouse en MIPC



Pulsar normal en ADMINISTRAR



Pulsar normal en ADMINISTRACION DE DISCOS



Pulsar con el botón derecho del mouse en VOLUMEN sobre la unidad que se quiere cambiar



Pulsar normal sobre CAMBIAR LA LETRA Y RUTAs DE ACCESO DE UNIDAD



escojer la letra de la Unidad a Cambiar



Pulsar en CAMBIAR



Seleccionar Nueva letra que se desee aplicar



ACEPTAR


[/quote]
Evidentemente no debe cambiarse la letra de la Unidad de Sistema o de Arranque !!!





Se aconseja hacerlo sobre una unidad de pendrive, para no afectar a programas instalados

Tras ello aunque no se tenga inicialmente disco duro como C:, podrá asignarse a un pendrive dicha letra, en el cual se crearán los informes indicados.



saludos



ms, 28-1-2009

[infectao]

he intentado hacer todo lo que me habeis dicho pero me ha resulktado totalmente imposible



No me deja iniciar windows en modo seguro (a prueba de fallos). Cuando lo hago se reinicia otra vez

el scanonline no me lo acaba nunca, siempre se queda colgado



cuando ejecuto el archivo este q me baje ELISTARa o algo asi, me dice detectado NavyPromo, reinicie para proceder a la limpieza.... pero despues de reiniciar todo sigue igual...si vuelvo a ejecutarlo me dice otra vez lo mismo



el archivo infosat no esta, no se ha generado, tengo unidad C y lo he buuscado de todas las maneras....



¿algun consejo o formateo ya directamente?



Gracias

[msc hotline sat]

Pues prueba el SPROCES, a ver si vemos algo extraño en el log que genera:






[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 31-1-2009

[infectao]

Ahí va......







Sun Feb 01 19:14:29 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: GERMAN

Nombre Usuario: Germán



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\AGRSMMSG.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\WINDOWS\VM305_STI.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\TASKMGR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\GERMáN\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL (file missing)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL (file missing)

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [akeio] "c:\documents and settings\germán\configuración local\datos de programa\akeio.exe" akeio

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera V

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: Adobe Gamma Loader.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://especiales.softonic.com/sinespias/installer.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_10) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_10-windows-i586.cab

O16 - DPF: {AC2CD8BB-8E60-45B4-B415-1EB1C04E7753} (SAFELAYER FormSign Control) - https://www.sabadellatlantico.com/neti/java/formSign001.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} (Java Plug-in 1.4.2_04) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.5.0_05) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} (Java Plug-in 1.5.0_08) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.6.0_10) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_10-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_10) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_10-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5505/mcfscan.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll (file missing)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Agere Systems Soft Modem (AgereSoftModem) - Agere Systems - C:\WINDOWS\SYSTEM32\DRIVERS\AGRSM.sys

O23 - Service: Service for WDM 3D Audio Driver (ALCXSENS) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\ALCXSENS.SYS

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Avgfwdx - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\avgfwdx.sys

O23 - Service: AVG network filter service (Avgfwfd) - AVG Technologies CZ, s.r.o. - C:\WINDOWS\SYSTEM32\DRIVERS\avgfwdx.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyDelay - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyDelay.sys

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Upper Class Filter Driver (NTIDrvr) - NewTech Infosystems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NTIDrvr.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SiS PCI Fast Ethernet Adapter Driver (SISNIC) - SiS Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisnic.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: VIMICRO USB PC Camera V (ZSMC0305) - Vimicro Corporation - C:\WINDOWS\SYSTEM32\Drivers\usbVM305.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



27 Servicios.

4 de Carga Automatica.

19 de Carga Manual.

4 Deshabilitados.

[msc hotline sat]

Pues vemos sospechoso este fichero:



c:\documents and settings\germán\configuración local\datos de programa\akeio.exe



envianoslo para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlo, lo analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 1-2-2009

[infectao]

me parece que he dado con el problema (no con la solucion)



El archivo ese "sospechoso" lo he eliminado a lo bruto pq no se ni lo q es



Al hacer un scan on line me detecta en archivos temporales de internet como en 40 o 50 archivos acabados en .jpg el Win32/Bagle.worm, win32/malpacked, y el Win-Trojan/agent 6768



teneis alguna herramienta que elimine estos virus? he buscado por iternet los sintomas que da el Bagle y coincido totalmente, asi que debe tratarse de eso

[julibaga]

Ya vi que intentaste pasar el Elistara, sin resultado por no poder correrlo. Intenta con el Elibagla ya que es para ese tipo de virus exactamente. A ver si puedes correrlo y nos posteas el resultado.



Elibagla:

http://www.zonavirus.com/descargas/elibagla.asp

[msc hotline sat]

Y cuando te pedimos que nos envies un fichero para analizar, no es para que lo elimines !!!



En todo caso si se quiere aparcar el problema, se le añade extension .VIR al ficherio y asi no se lanza a partir del proximo reinicio, pero eliminando el fichero, si no conocemos el malware, te puedes quedar sin que te podamos ayudar.



Ademas, en la forma que has obrado haces un flaco favor al foro...



saludos



ms, 2-2-2009

[infectao]

he ejecutado el elibagla y no me sale nada, tendria que salir algun mensaje o algo??????

[msc hotline sat]

Si eliminaste el fichero no podremos detectarlo...



Pero por lo menos ya sabes que no tienes ningun primo hermano del mismo, y se han restaurado las claves.



Lastima que lo borraras, sino hubieramos comprobado la correcta eliminacion, pero ...



Y dando por solucionado el Tema, ya procedemos a cerrarlo



saludos



ms, 2-2-2009

[msc hotline sat]

NOTA POSTCIERRE:



Como sea que el usuario ha enviado un privado indicando que persisten los problemas, y no sabemos si ha usado la version actual que lo controla, aparte de que edite otro Tema al resepcto, le adelantamos que debe descargar la version actual del ELIBAGLA 12.17 y tras probarlo, postearnos el informe resultante, con un copiar y pegar del contenido de c:\infosat.txt




[quote="para descargar el ELIBAGLA, msc"]


http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 2-2-2009















PD: Y ver lo que decimos hoy en las nuevas versiones subidas a esta web para evaluacion:



https://foros.zonavirus.com/viewtopic.php?f=11&t=27655



en la que se ve que se han añadido 3 nuevas variantes de Bagle, no sabemos si la suya debido a que ha borrado el fichero ...



ELIBAGLA



--v12.17-- ( 2 de Febrero del 2008) (Muestras de (3)Bagle "WINUPGRO.EXE y FLEC003.EXE")