ELISTARA NO VA (SOLUCIONADO)

[siri]

Hola. Creo que algo se me ha instalado en el pc. Se ha desactivado el antivirus y antispy. No me deja ejecutar hijackthis. Tampoco me deja arrancar en modo seguro. He descargado el Elistara pero cuando lo inicio me sale un mensaje de error que dice "No ha sido posible abrir SYSTEM.INI", y luego sólo funciona uno segundos y se cierra. ¿Qué puedo hacer?

[lucl]

Primero prueba con elibagla por si acaso





http://www.zonavirus.com/descargas/elibagla.asp





y luego prueba a pasar elistara arrancando el pc en modo seguro





https://foros.zonavirus.com/viewtopic.php?f=5&t=5266



y nos comentas como te fue saludos

[siri]

Nada, no me deja hacer nada con ninguna de las dos utilidades. Os pego el log de infosat si no os importa y me orientáis?











(30-11-2009 21:44:13)

EliBagle v13.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(30-11-2009 21:44:46 (GMT))

EliStartPage v19.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



(30-11-2009 21:44:56 (GMT))

EliStartPage v19.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



(30-11-2009 21:45:9)

EliBagle v13.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



(30-11-2009 21:46:32)

EliBagle v13.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(30-11-2009 21:49:57)

EliBagle v13.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(30-11-2009 21:52:59)

EliBagle v13.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(30-11-2009 21:53:6)

EliBagle v13.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



(30-11-2009 21:56:43)

EliBagle v13.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Reinicie para Completar la Limpieza.



(30-11-2009 21:56:50)

EliBagle v13.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

[siri]

Y en todo este fregado además me he quedado sin sonido en el pc.

[msc hotline sat]

Lucl ha tenido muy buen olfato, o vista ... :)



Efectivamente es el bagle el que le está afectando.



Y en el infosat se le pide que nos envie muestra para analizar:



[b][i]Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.25[/i][/b]



Tras moniorizar la muestra, implementaremos su control y eliminacion en la nueva version del ELIBAGLA, y tras probarla espero que este Bagle pase a la historia.



Y como que dicho virus fastidia antivirus y otras aplicaciones, luego las que no funcionen, deben reinstalarse de nuevo, pues han quedado dañadas por dicho marrano.



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 1-12-1009

[siri]

Envié la muestra anoche. Muchas gracias.

[msc hotline sat]

Recibida la muestra de la nueva variante de Bagle, hoy la monitorizaremos e implementaremos su control y eliminacion en la nueva version del ELIBAGLA 13.26 de hoy:



A partir de las 19 h descarga dicha nueva version que eliminará totalmente este variante que nos envias.





[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 1-12-2009





NOTA: Mientras, como que lo tienes "aparcado", puedes ir reinstalado las aplicaciones que no te funcionen. Y ojo a estas nuevas variantes de Bagle, que en los ZIP que tuvieras en el disco duro, inyectan ficheros infectados con Bagle, para que el día de mañana, si los desempaquetas, vuelvas a generar virus en el ordenador, asi que si tienes ZIP, desempaquetalos, elimina de ellos el Bagle y vuelvelos a empaquetar. Esta funcion la implementaremos en un futuro en el ELIBAGLA, pero chocamos con algunas anomalias, en funcion del generador de ZIP que lo haya creado, cuyo desempaquetado en algunos casos les pone atributo de Read Only a todos, y no podemos saber cuales eran asi y cuales no, para empaquetarlo de nuevo como en el original, y algunas minucias mas como existencia de carpetas vacías y desempaquetado/empaquetado de las mismas... y aunque estamos en ello, de momento hacerlo manualmente.

[siri]

He vuelto a pasar el Elibagla, la nueva versión. Os pego los logs de Infosat, el primero de la primera vez que lo he pasado y el segundo después de reiniciar. No me aclaro muy bien, ¿tengo que enviaros muestras de nuevo?



[b]Primero:[/b]





(1-12-2009 19:29:3)

EliBagle v13.26 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\105625.EXE.Muestra EliBagle v13.26

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\105625.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\14815421.EXE.Muestra EliBagle v13.26

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\14815421.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\14818609.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\14846406.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\14851375.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\37501218.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\37505390.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\37513296.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\37516859.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\52237265.EXE.Muestra EliBagle v13.26

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\52237265.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\52240781.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\52247281.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\52250187.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\66923281.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\66928968.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\66946093.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\66954078.EXE --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(1-12-2009 19:29:26)

EliBagle v13.26 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



(1-12-2009 19:47:22)

EliBagle v13.26 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Eliminado Bagle dldr

C:\DOCUMENTS AND SETTINGS\CRISTINA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Eliminado Bagle.dldr

Entrada Eliminada [HKCU\...\Run] "drvsyskit"="C:\Documents and Settings\cristina\Datos de programa\drivers\winupgro.exe"

Entrada Eliminada [HKCU\...\Run] "german.exe"="C:\WINDOWS\wintems.exe"

Entrada Eliminada [HKCU\...\Run] "mule_st_key"="C:\Documents and Settings\cristina\Datos de programa\m\flec006.exe"

Eliminado Servicio, "srosa"

Restaurada Clave: "SafeBoot\Minimal y Network"



(1-12-2009 19:48:2)

EliBagle v13.26 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"





....................................................................................................................................................



Segundo:





(1-12-2009 19:51:14)

EliBagle v13.26 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%AppData%\Drivers"

Eliminada Carpeta "%AppData%\M"



(1-12-2009 19:51:20)

EliBagle v13.26 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



....................................................................................................................................................

[siri]

Y esto es lo que me sale pasando el Hijackthis





Logfile of HijackThis v1.99.1

Scan saved at 21:20:42, on 01/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Firebird\bin\ibguard.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Firebird\bin\ibserver.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\rkfree\rkfree.exe

C:\Archivos de programa\Logitech\Logitech WebCam Software\LWS.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Logitech\Logitech Vid\Vid.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Archivos comunes\Logishrd\LQCVFX\COCIManager.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\cristina\Escritorio\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [IgfxTray] "C:\WINDOWS\system32\igfxtray.exe"

O4 - HKLM\..\Run: [HotKeysCmds] "C:\WINDOWS\system32\hkcmd.exe"

O4 - HKLM\..\Run: [Persistence] "C:\WINDOWS\system32\igfxpers.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] "C:\WINDOWS\system32\NeroCheck.exe"

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] "HDAShCut.exe"

O4 - HKLM\..\Run: [RTHDCPL] "RTHDCPL.EXE"

O4 - HKLM\..\Run: [ISTray] "C:\Archivos de programa\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [rkfree] "C:\Archivos de programa\rkfree\rkfree.exe" /b

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Archivos de programa\Logitech\Logitech WebCam Software\LWS.exe" /hide

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [Logitech Vid] "C:\Archivos de programa\Logitech\Logitech Vid\Vid.exe" -bootmode

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\ARCHIV~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - Startup: Quitometro.lnk = C:\Archivos de programa\Quitometro\Quitometro.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://static.slide.com/uploader/SlideImageUploader.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1233958794182

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1233962658500

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader2.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: __c00F8B71 - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Servicio Google Update (gupdate1ca300612708442) (gupdate1ca300612708442) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe" /svc (file missing)

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Firebird Guardian Service (InterBaseGuardian) - Unknown owner - C:\Archivos.exe (file missing)

O23 - Service: Firebird Server (InterBaseServer) - Unknown owner - C:\Archivos.exe (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

[lucl]

Envianos las muestras si, ademas tienes esto



O4 - HKLM\..\Run: [rkfree] "C:\Archivos de programa\rkfree\rkfree.exe" /b



que quiero que subas a analizar a virustotal





www.virustotal.com/es





y nos pegas el log resultante en caso de que de virico, y si es asi nos lo envias tambien para darte la herramienta necesaria. Saludos

[flacoroo]

[color=#0000FF]si envianos esta muestras siguiendo la ruta:[/color]C:\Muestras\105625.EXE.Muestra EliBagle v13.26

C:\Muestras\14815421.EXE.Muestra EliBagle v13.26

C:\Muestras\52237265.EXE.Muestra EliBagle v13.26



[color=#0000FF]no se si uses este programa pero es un keyloogger y debes desinstalarlo:[/color]

C:\Archivos de programa\rkfree\rkfree.exe

O4 - HKLM\..\Run: [rkfree] "C:\Archivos de programa\rkfree\rkfree.exe" /b



[color=#0000FF]eliminar esta entrada:[/color]

O20 - Winlogon Notify: __c00F8B71 - C:\WINDOWS\



Haz lo siguiente: bajate estos programitas y ejecutalos de forma normal y si no puedes reinicia tu computadora y hazlo de modo seguro,

despues que termine nos pegas el resultado que se crea en C:infosat.txt



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar ElistAra[/url]

[url=http://www.zonavirus.com/descargas/elinotifdll.asp]Descargar Elinotif[/url] (complemento de ElistAra deben estar en el mismo lugar)

[siri]

Ya os he enviado las muestras.



Después de pasar los programas el log es éste:





(1-12-2009 23:21:00 (GMT))

EliStartPage v19.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"









Supongo que todo está bien.



El rkfree lo he instalado yo, gracias.

[msc hotline sat]

Pues añade a las muestras indicadas por flacoroo, esta que te pide tambien el ELIBAGLA:



Por favor, envienos una muestra del fichero

C:\Muestras\105625.EXE.Muestra EliBagle v13.26





y tu sabras lo que haces con el rkfree , Nosotros aconsejaríamos desinstalarlo y quitarlo de circulacion.



saludos



ms, 2-12-2009

[msc hotline sat]

Resultado del preanalisis de una cualquiera de las muestras enviadas:



Scanned time : 2009/12/02 10:16:16 (CET)

Scanner results: 65% Escaner (24/37) encontró infección

File Name : 14815421.EXE.Muestra EliBagle v13.rar

File Size : 875820 byte

File Type : RAR archive data, v1d, os

MD5 : 75eadf5def0bc59a96a03f47b2d331e8

SHA1 : 9e41615badb11f1cb58470c75c7d959a63042b64





Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 4.5.0.8 20091202040138 2009-12-02 4.35 Email-Worm.Win32.Bagle!IK

AhnLab V3 2009.12.02.01 2009.12.02 2009-12-02 1.48 Win32/MalPackedB.suspicious

AntiVir 8.2.1.92 7.10.1.152 2009-12-01 0.68 TR/Bagle.Gen.B

Antiy 2.0.18 20091201.3332096 2009-12-01 0.18 -

Arcavir 2009 200912011251 2009-12-01 0.01 -

Authentium 5.1.1 200912012338 2009-12-01 6.20 -

AVAST! 4.7.4 091201-1 2009-12-01 0.04 Win32:Beagle-AHD [Wrm]

AVG 8.5.288 270.14.89/2539 2009-12-02 3.78 I-Worm/Bagle.AVN

BitDefender 7.81008.4675539 7.29256 2009-12-02 13.46 Win32.Bagle.SVI

CA (VET) 35.1.0 7150 2009-11-30 8.23 Win32/Bagle.FG trojan.

ClamAV 0.95.2 10102 2009-12-02 0.14 -

Comodo 3.13 3108 2009-12-02 2.33 UnclassifiedMalware

CP Secure 1.3.0.5 2009.12.02 2009-12-02 0.07 Troj.W32.Delf.bwf

Dr.Web 4.44.0.9170 2009.12.01 2009-12-01 26.57 Win32.HLLM.Beagle

F-Prot 4.4.4.56 20091201 2009-12-01 5.68 -

F-Secure 7.02.73807 2009.12.02.06 2009-12-02 44.33 Email-Worm.Win32.Bagle.of [AVP]

Fortinet 11.116- 11.116 2009-12-01 0.58 W32/Bagle.BGX!tr.dldr

GData 19.9124/19.600 20091202 2009-12-02 11.19 Email-Worm.Win32.Bagle.of [Engine:A]

ViRobot 20091201 2009.12.01 2009-12-01 1.07 -

Ikarus T3.1.01.74 2009.12.02.74635 2009-12-02 12.75 Email-Worm.Win32.Bagle

JiangMin 13.0.900 2009.12.01 2009-12-01 18.08 -

Kaspersky 5.5.10 2009.12.02 2009-12-02 0.03 Email-Worm.Win32.Bagle.of

KingSoft 2009.2.5.15 2009.12.2.14 2009-12-02 1.18 -

McAfee 5.3.00 5819 2009-12-01 10.79 W32/Bagle.gen

Microsoft 1.5302 2009.12.02 2009-12-02 7.89 Worm:Win32/Bagle.gen!C

Norman 6.01.09 6.01.00 2009-12-01 10.03 W32/Bagle.GIG

Panda 9.05.01 2009.12.01 2009-12-01 2.95 Suspicious file

Trend Micro 9.000-1003 6.666.01 2009-12-02 0.00 -

Quick Heal 10.00 2009.12.02 2009-12-02 2.37 Win32.Email-Worm.Bagle.of.3

Rising 20.0 22.24.02.03 2009-12-02 2.10 Packer.Win32.Mian007.a

Sophos 3.02.0 4.48 2009-12-02 13.35 Mal/Bagpk-D

Sunbelt 3.9.2381.2 5539 2009-12-01 3.67 Email-Worm.Win32.Bagle.of (v)

Symantec 1.3.0.24 20091201.006 2009-12-01 0.26 -

nProtect 20091202.01 6455064 2009-12-02 22.67 Win32.Bagle.SVI

The Hacker 6.5.0.2 v00083 2009-12-01 2.47 -

VBA32 3.12.12.0 20091201.2021 2009-12-01 11.68 -

VirusBuster 4.5.11.10 10.114.6/2021099 2009-12-01 13.29 -



Cabe resaltar que dos de los antivirus conocidos, Trend y Symantec, actualmente no lo detectan.



A partir de la version 13.27 del ELIBAGLA de hoy, detectará y eliminará dicha variante



saludos



ms, 2-12-2009









NOTA: En lugar de empaquetar una a una las muestras, otra vez puede empaquetarlas todas juntas en un ZIP o RAR con password virus, que es lo importante. ms.

[siri]

Ok, entiendo que mi ordenador todavía tiene virus. Esperaré al Elibagla de hoy.



Respecto al rkfree, ¿me aconsejáis algún otro keylogger "inofensivo"? En este ordenador suelen andar niños de 10-12 años y me interesa tener uno.

[msc hotline sat]

Bueno, el ELIBAGLA de momento ya le ha "aparcado" el bagle y ahora no está activo, y con el que subiremos esta tarde a la web ya debe eliminar todos estos restos.



Y sobre keyloggers no son recomendables, y recuerde que el fin no justifica los medios :)



Vea los "parental controls" que están para lo que quiere. Con el Google encontrará muchos, como el de McAfee.



http://www.google.es/search?hl=es&source=hp&q=%22parental+control%22&meta=&rlz=1R2GGLL_esES349&aq=f&oq=



verá casi un millón de links, de los cuales mas de 100.000 son de McAfee.



saludos



ms, 2-12-2009





NOTA: Y me informan que las tres muestras enviadas generan distinto WINUPGRO, por lo que son descargas diferentes de dicha familia. que pasaremos a controlar a partir del ELIBAGLA 13.27 de hoy. ms.

[siri]

Creo que ya está todo bien. Estos son los logs del Elibagla y el Elistara de hoy



(2-12-2009 18:58:30 (GMT))

EliStartPage v19.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"











(2-12-2009 19:0:10)

EliBagle v13.27 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(2-12-2009 19:0:12)

EliBagle v13.27 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"





Ya no me pide que envíe ninguna muestra. ¿Todo correcto entonces?



Gracias.

[msc hotline sat]

Pues supongo que eliminaste manualmente todas las muestras de c:\muestras que nos enviastes, pues sino el ELIBAGLA actual debería haberlos detectado y eliminado.



Entendemos que ya no tienes nada en C:\muestras\ , si no fuera asi, abre nuevo Tema y comentanoslo, enviandonos lo que alli quedara, aunque no creo...



Y dando por solucionado este Tema, procedemos a cerrarlo



Sinos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 2-12-2009