descargar elibagla

[rafaloni]

Acabo de pasar el nuevo Elistara y este es el resultado del infosat.txt:





(8-5-2009 17:04:06)

EliStartPage v18.57 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\PROGRA~1\THUNMAIL\TESTABD.DLL --> Eliminado Wowpa.IX

[msc hotline sat]

Falta la Exploracion, que detectará y eliminará el que tienes en C:\muestras:



C:\Muestras\MQICQMA.EXE.Muestra EliStartPage v18.56



Compruebalo y si tras ello sigue estando en c:\muestras, dinoslo...



Aparte postea el nuevo infosat.txt tras explorar el disco duro con el ELISTARA actual



saludos



ms, 8-5-2009





NOTA_: y dinos si tras ello y reiniciar, persiste alguna anomalia o podemos dar por solucionado el Tema, gracias

[rafaloni]

Después de pasar el elistart, sale este informe:



(8-5-2009 17:04:06)

EliStartPage v18.57 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\PROGRA~1\THUNMAIL\TESTABD.DLL --> Eliminado Wowpa.IX



(8-5-2009 17:20:28)

EliStartPage v18.57 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\PROGRA~1\THUNMAIL\TESTABD.DLL --> Eliminado Wowpa.IX



Después pasé el Elitriip, con este informe:



(8-5-2009 17:43:12)

EliTriIP v5.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 www.winsoftware.com ## added by CiD



Tras reiniciar me ocurre esto:



. No puedo arrancar en modo seguro

. El HijackThis.exe que tenía descargado no puedo eliminarlo, ni cambiar de nombre, nada. cuando intento hacer algo con él, se me queda colgado

. He probado pasar el Elibagla, pero parece que no se ejecuta, tras el mensaje de que necesita licencia, no hace nada más.

. Cuando me dicen Vd. que falta que explore el Elistart, no sé a que se refieren, pues no me sale ninguna ventana para decir que explore.

. He vuelto a instalar (ya lo tenía desinstalado antes) el Avast, y al ejecutarlo sigue el mensaje de que no es una aplicación Win332 válida.



Para mí, el mayor problema es que no puedo ejecutar bien los programas que me indican, pues o me corren muy rápido, y no me da tiempo a leer las ventanas que salen, o por ejemplo con el elibagla, no me hace nada, ni me genera ningún informe.

El primer informe que les envié del elibagla en el que parecía que había eliminado el gusano, si se fijan en la fecha, es de Marzo, pues entonces ya tuve problemas con él y lo pude eliminar. al decirme Vds. que envíe el Infosat.txt, les envié el de aquella fecha creyendo que era el actual, pero realmente, el elibagla no se ha ejecutado ninguna vez.



Espero sus instrucciones pues ya no sé que hacer ni como poder ejecutar el elibagla y acabar con el maldito "gusano".



Muchas gracias por su paciencia.

[msc hotline sat]

Si tiene problemas con el ELIBAGLA, recuerda:



https://foros.zonavirus.com/viewtopic.php?f=5&t=23824





y lo que vemos es que has tenido el CiD, por lo que conviene pruebes el SPROCES y nos postees e. contenido e c:\sproclog.txt para que veamos si queda algun resto desconocido:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 11-5-2009

[rafaloni]

No sé lo que es el CiD

Tras pasar el Sproces, el resultado del SProcLog.txt es el siguiente:



(11-5-2009 15:27:41)

SProces v3.4 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: USUARIO-00BFB5C

Nombre Usuario: USUARIO



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BELKIN\BELKIN WIRELESS NETWORK UTILITY\WLSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\BELKIN\BELKIN WIRELESS NETWORK UTILITY\WLANCFGG.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE.COM\AGENT\MCDETECT.EXE

C:\ARCHIV~1\MCAFEE.COM\AGENT\MCTSKSHD.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\SEARCH SETTINGS\SEARCHSETTINGS.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\AVERTV\QUICKTV.EXE

C:\ARCHIVOS DE PROGRAMA\IPOD\BIN\IPODSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\USUARIO\CONFIGURACIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\WTLC3B4W\SPROCES[1].EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

R3 - URLSearchHook: Multi Media Spain Toolbar - {79f99a29-ffa7-4f2d-a23a-512a548b597c} - C:\Archivos de programa\Multi_Media_Spain\tbMult.dll

R3 - URLSearchHook: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Archivos de programa\myBabylon_English\tbmyB1.dll (file missing)

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb127\SearchSettings.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Archivos de programa\Dealio\kb127\Dealio.dll

O2 - BHO: Multi Media Spain Toolbar - {79f99a29-ffa7-4f2d-a23a-512a548b597c} - C:\Archivos de programa\Multi_Media_Spain\tbMult.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Archivos de programa\myBabylon_English\tbmyB1.dll (file missing)

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb127\SearchSettings.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Multi Media Spain Toolbar - {79f99a29-ffa7-4f2d-a23a-512a548b597c} - C:\Archivos de programa\Multi_Media_Spain\tbMult.dll

O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Archivos de programa\myBabylon_English\tbmyB1.dll (file missing)

O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Archivos de programa\Dealio\kb127\Dealio.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [BALM BEEP] C:\DOCUME~1\USUARIO\DATOSD~1\README~1\Window Test Mp3.exe

O4 - HKCU\..\Run: [svc] C:\program Files\ThunMail\testabd.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\McAfee.com\Agent\McUpdate.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Pando] "L:\Pando Networks\Pando\Pando.exe" /Automation

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [au] C:\Archivos de programa\Dealio\DealioAU.exe

O4 - HKLM\..\Run: [SearchSettings] C:\Archivos de programa\Search Settings\SearchSettings.exe

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: QuickTV.lnk

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\USUARIO\Datos de programa\Dealio\kb127\res\DealioSearch.html

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Archivos de programa\Dealio\kb127\Dealio.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab

O16 - DPF: {3E410F8E-7EDC-4E91-B7A8-BFA00E3803D2} (EROL v 4.0.15) - http://www.e-rol.com/cabs/EROLProj1.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://danialon.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\MSERO.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.0.0.5 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Archivos de programa\Belkin\Belkin Wireless Network Utility\WLService.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for WDM 3D Audio Driver (ALCXSENS) - Sensaura Ltd - C:\WINDOWS\SYSTEM32\drivers\ALCXSENS.SYS

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Advanced SCSI Programming Interface Driver (ASPI) - Adaptec - C:\WINDOWS\System32\DRIVERS\ASPI32.sys

O23 - Service: Belkin 54Mbps Wireless USB Network Adapter (bkn50USB) - Ralink Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\rt2500usb.sys

O23 - Service: Cap7134 Capture (Cap7134) - AVerMedia TECHNOLOGIES, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\Cap7134.sys

O23 - Service: USB Video Camera (DCamUSBIntel) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\TP6800.sys (file missing)

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: GEAR ASPI Filter Driver (GEARAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: GTNDIS5 NDIS Protocol Driver (GTNDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\system32\GTNDIS5.SYS

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: HSFHWBS2 - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFBS2S2.sys

O23 - Service: HSF_DP - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFDPSP2.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: Nokia USB Flashing Phone Parent (nmwcdnsu) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsu.sys

O23 - Service: Nokia USB Flashing Generic (nmwcdnsuc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsuc.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Cap7134 TVTuner (PhTVTune) - AVerMedia TECHNOLOGIES, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\PhTVTune.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Sony Ericsson Device 116 driver (WDM) (s116bus) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s116bus.sys

O23 - Service: Sony Ericsson Device 116 USB WMC Modem Filter (s116mdfl) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s116mdfl.sys

O23 - Service: Sony Ericsson Device 116 USB WMC Modem Driver (s116mdm) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s116mdm.sys

O23 - Service: Sony Ericsson Device 116 USB WMC Device Management Drivers (WDM) (s116mgmt) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s116mgmt.sys

O23 - Service: Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (NDIS) (s116nd5) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s116nd5.sys

O23 - Service: Sony Ericsson Device 116 USB WMC OBEX Interface (s116obex) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s116obex.sys

O23 - Service: Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (WDM) (s116unic) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s116unic.sys

O23 - Service: Sony Ericsson Device 217 driver (WDM) (s217bus) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s217bus.sys

O23 - Service: Sony Ericsson Device 217 USB WMC Modem Filter (s217mdfl) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s217mdfl.sys

O23 - Service: Sony Ericsson Device 217 USB WMC Modem Driver (s217mdm) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s217mdm.sys

O23 - Service: Sony Ericsson Device 217 USB WMC Device Management Drivers (WDM) (s217mgmt) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s217mgmt.sys

O23 - Service: Sony Ericsson Device 217 USB Ethernet Emulation SEMC217 (NDIS) (s217nd5) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s217nd5.sys

O23 - Service: Sony Ericsson Device 217 USB WMC OBEX Interface (s217obex) - MCCI Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\s217obex.sys

O23 - Service: Sony Ericsson Device 217 USB Ethernet Emulation SEMC217 (WDM) (s217unic) - MCCI - C:\WINDOWS\SYSTEM32\DRIVERS\s217unic.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: upperdev - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: UsbserFilt - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: vaxscsi - Alcohol Soft Co., Ltd. - C:\WINDOWS\System32\Drivers\vaxscsi.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFCXTS2.sys

[msc hotline sat]

Envianos estos ficheros para analizar:



C:\ARCHIVOS DE PROGRAMA\SEARCH SETTINGS\SEARCHSETTINGS.EXE



C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE



C:\DOCUME~1\USUARIO\DATOSD~1\README~1\Window Test Mp3.exe



C:\Archivos de programa\Dealio\kb127\Dealio.dll







Posiblemente alguno de ellos será un Swizzor de los que dejaba el CiD (el Messenger Plus lo generaba)







y elimina estas claves:



R3 - URLSearchHook: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Archivos de programa\myBabylon_English\tbmyB1.dll (file missing)



R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb127\SearchSettings.dll



O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\kb127\SearchSettings.dll









[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 11-5-2009

[rafaloni]

Los ficheros que me solicitan para analizar ya los envié. Si quieren que lo haga de nuevo digánmelo.

En cuanto a la eliminación de las claves, ya les he mencionado varias veces que no puedo utilizar el HiJackThis, pues al utilizarlo se me queda colgado el Pc (no responde), no puedo eliminarlo, ni cambiarlo de nombre, sólo con seleccionarlo a los pocos segundos se cuelga.

No puedo arrancar en modo seguro.

Perdonen mi insistencia, pero creo que el problema principal es que no se ejecuta el Elibagla, sale un mensaje informativo de que se necesita licencia, y al dar a aceptar no hace nada más, ni muestra más pantallas, ni nada, y no deja ningún infosat.txt

[msc hotline sat]

Seguro que nos envio el EXE ademas de la DLL ???



C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE





Y seguro que has enviado este que se supone que será un Swizzor creado por el CiD ??? :



C:\DOCUME~1\USUARIO\DATOSD~1\README~1\Window Test Mp3.exe





En cualquier caso, como que aparecen en el log, es que no se han eliminado, vuelvelas a enviar y veremos si las conocemos o no.







y ya que no puedes usar el HJT para eliminar claves, prueba el BUSCAREG:



[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]





saludos



ms, 11-5-2009











NOTA: Y pruebe el ELIBAGLA como administrador, boton derecho sobre el icono y escojer : Ejecutar como Admisnitradior. ms.

[rafaloni]

Cuando me dice 'Y pruebe el ELIBAGLA como administrador, boton derecho sobre el icono y escojer : Ejecutar como Admisnitradior', no sé a que se refiere. ¿qué icono? ¿el del elibagla?, no me sale ninguna opción de ejecutar como administrador

[msc hotline sat]

Cualquier ejecutable, al pulsar con el boton derecho sobre su icono, aparece la opcion de "Ejecutar Como"



Cuando el sistema está configurado con derechos limitados para el usuario, o como en el VISTA que exige derechos de administrador, debe ejecutarse en dicho modo, para lo cual procede hacer lo indicado.



Pruebelo y vea si ejecutandolo como administrador procesa normalmente.



saludos



ms, 12-5-2009

[rafaloni]

Al pulsar 'Ejecutar Como ...' no me sale opción de Administrador, sino que me salen dos: usuario actual y otros usuarios (donde no aparece ninguno más). Selecciono usuario actual, sale la ventana informativa de lo de la licencia, pulso aceptar, empieza a explorar ficheros, aparece ventana donde dice que gusano bagla detectado, y sale ventana más grande de Satinfo, pulso explorar, empieza a explorar, y a los 3 ó 4 segundos desaparece todo no dejando ningún InfoSat.txt, aún después de reiniciar. Al mostrarse cualquiera de las ventanas anteriormente descritas, si no pulso nada, a los 3 ó 4 segundos desaparece y ahí acaba todo, no dejando en ningún caso ningún InfoSat.txt, es decir, creo que no se completa todo el proceso del EliBagla.



En cuanto a los ficheros que debo enviarles, lo acabo de hacer con el nombre de 'EliBagla.zip', excepto el 'Window Test Mp3.exe' que como ya les dije en un post anterior, no lo encuentro, ni con el 'Busca' y con la opción de que se muestren todos los ficheros y carpetas ocultos y del sistema.



Referente a lo de las claves, he descargado el BuscaReg.exe, pero me ocurre algo similar que con el EliBagla, aparece una pantalla donde debo poner la cadena a buscar, pero no me da tiempo a casi nada, pues en seguida desaparece y ahí acaba todo.



La verdad, es que me siento impotente, pues no puedo ejecutar casi ningún programa de los que Vds. me indican, y me estoy planteando hasta de formatear el disco duro, con los trastornos que ello me ocasionaría.



Si pudiera ejecutar de forma completa el EliBagla, creo que sería el inicio de la solución.



Espero sus respuestas, y sobre todo, muchas gracias.

[msc hotline sat]

Bien, hoy controlamos nuevas variantes de Bagle, que cierran procesos de seguridad, con el ELIBAGLA 12.54



Descargalo y si lo detecta y pide reinciar, hazlo rapidillo, y si te lo dice una segunda vez, tambien rapidillo (el tiempo juega en tu contra), entonces reinicia en MODO SEGURO, que ya podrás y lanza de nuevo el ELIBAGLA, pero siempre el de hoy !



El analisis por exploracion hazlo en modo seguro, cuando puedas, no antes.




[quote="msc"]
[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 12-5-2009

[rafaloni]

He probado el nuevo EliBagla. La primera vez detecta el gusano y me pide reiniciar, doy a 'salir' y reinicio lo más rápido que puedo.Tras reiniciar vuelvo a pasar el nuevo EliBagla, y sucede lo mismo, lo detecta y me pide reiniciar. Esto lo he hecho sucesivas veces pues siempre me pide reiniciar. Después he intentado arrancar en modo seguro y no me deja, tiene que ser 'iniciando windows normalmente'. Aún así, he vuelto a hacer lo anterior 2 veces más, pasando el EliBagla , salir, y reiniciando, y sigo sin poder arrancar en modo seguro. Al final, a pesar de no poder arrancar en modo seguro, he pasado el EliBagla, detecta el gusano, me pide reiniciar, no reinicio y pulso 'Explorar' y esta vez termina el proceso completo (por fin), analiza todo el sistema, doy a salir, reinicio, pero sigue sin aparecer ningún InfoSat.text en el c:/

Espero nuevas instrucciones, si es que no se cansan ya de mí.

Gracias.

[lucl]

Pues si que es puñetero el bicho si, recuerdas que archivo es el infectado, ruta o algo de lo que te dice elibagla? Podrias copiarnos los datos concretos? Por si podemos ver por donde van los tiros mas que nada, saludos

[msc hotline sat]

Sí, es una nueva variante que hemos recibido hoy, que detiene los procesos de seguridad, y lo eliminamos en la exploracion, pero si pide reiniciar, y tras ello vuelve a pedir REINICIAR, debe hacerse en MODO SEGURO pero reiniciando enseguida, pues sino, vuelve a modificar la clave del SAFEBOOT, por eso a la segunda vez que pide reiniciar debe hacerse "rapidillo" y reiniciar en modo seguro (que se puede, ya lo has visto) y asi lanzar de nuevo el ELIBAGLA



Lo que no cuadra es que no haya creado el C:\infosat.txt ... claro que igual este nueva variante nos lo borra, ja :? ! habremos de comprobarlo.



Sea como sea, el Bagle está hecho por hackers gamberros, pero no tontos !



De todas formas, mira si ahora ya puedes arrancar normalmente en modo seguro, señal de que no tendrás ya el Bagle, y prueba de nuevo el ELIBAGLA, que, aunque hubiera borrado el informe anterior, ahora generaría uno de nuevo, limpio, y al menos encontrarías este, posteanos su contenido, gracias



saludos



ms, 13-5-2009

[msc hotline sat]

Recibido fichero TESTABD.EXE, lo pasamos a controlar en el ELISTARA 18.60 de hoy como PWS.WOWPA


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 13-5-2009

[rafaloni]

Nada, no hay forma de arrancar en Modo Seguro.



En cuanto sale el mensaje de 'detectado gusano bagle' 'reinicie para completar la limpieza' , cierro lo más rápido que puedo, y al reiniciar vuelvo a hacer lo mismo, y al siguiente reinicio sólo puedo arrancar Windows normalmente.

Unas veces he probado cerrar el sistema sin dar ni siquiera al 'aceptar' de los mensajes anteriores del elibagla, y otras pulsándolo y luego dando a 'Salir' de la ventana siguiente donde se pide 'Explorar'.



En el último intento, he dato a explorar, por si me detectaba algo, pero al final del proceso me dice que infectados = 0 y eliminados = 0.

Lo que si ocurre durante el proceso de exploración, es que en muchísimas carpetas me dice que tiene el acceso denegado a la carpeta en cuestión y tengo que dar al 'aceptar' para que siga el proceso. He copiado el nombre de algunas de estas carpetas, como por ejemplo:



c:\Windows\system32\ias (16)

c:\Windows\system32\setup (16)

c:\Windows\$NtUninstallKB950749$ (2066) como este nombre, hay muchísimas

c:\Windows\ie7 (2066)

...



De todas formas, a las 19 h., como Vds. dicen, pasaré el nuevo Elistara, pero creo que al final formatearé el disco duro.



Muchas gracias

[rafaloni]

Por cierto, se me olvidaba, en ningún momento genera el informe InfoSat.txt en el C:\

[msc hotline sat]

Ya tienes disponible el ELISTARA 18.60, PRUEBALO, Y A VER SI TAMPOCO TE GENERA EL INFOSAT... en tal caso mira si tienes derechos ???



saludos



ms, 13-5-2009