VIRUS (SOLUCIONADO)

c.pascual · Mensaje por **c.pascual** » 15 Ene 2010, 22:04

Hola a todos de nuevo.

Llevo unos cuantos días intentando realizar un dvd con un video casero y buscando editores descargué unos cuantos en la noche de ayer.

Instalando uno de ellos (previamente verificado con Kaspersky 2009 que no tenía virus) me hizo un extraño.

Aparentemente no había nada raro y dejé el ordenador generando el video y pendiente de reiniciar tras unas actualizaciones de windows.

Pues bien. Hoy intento hacer algo y me encuentro:

Impresora aparece como no conectada cuando lo está

En Internet, cada vez que intento pinchar sobre un enlace que contenga H I J A C K T H I S, se me cierra el navegador.

El Kaspersky me lo ha inutilizado.

No he podido arrancar en modo seguro.

No he podido reinstalar el Kaspersky (suite).

Leyendo he pasado el ELIBAGLE y me ha detectado algun gusano solicitando envío de muestra. (ya lo he hecho).

Pego el Info.txt.

Wed Jun 25 22:12:36 2008

EliStartPage v16.57 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 7074

Nº Total de Ficheros: 110754

Nº de Ficheros Analizados: 21412

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(15-1-2010 20:32:33)

EliBagle v13.42 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.42

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\SROSA2.SYS --> Eliminado Bagle(rootkit)

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\DOWNLD\255765.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\DOWNLD\267656.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\DOWNLD\656000.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\DOWNLD\661578.EXE --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

(15-1-2010 20:38:26)

EliBagle v13.42 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 11442

Nº Total de Ficheros: 141932

Nº de Ficheros Analizados: 19189

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

He intentado pasar una versión antígua de H I J A K T H I S y no me deje acceder a la carpeta, me cierra el explorador de archivos.

Espero vuestra ayuda. Gracias.

Mensaje por **lucl** » 15 Ene 2010, 22:44

No se si te dejara pasar sprocess que es un poco mas avanzado que el hijackthis te dejo link de descarga por si cuela...

http://www.zonavirus.com/descargas/sproces.asp

Vemos ya que es un bagle un tanto peliagudo. Te dejo otro link sobre estos a ver si te funciona. En cuanto a las muestras enviadas hasta el lunes no las analizaran por lo que te recomiendo sobre todo que hagas lo que indicamos en este link

Es sobre nuevas variantes de bagle muy resistentes y como se debe actuar.

https://foros.zonavirus.com/viewtopic.php?f=5&t=23824

Si consigues ejecutar sprocess te dejara un log en C llamado sproclog.txt cuyo resultado debes copiarnos. A ver si hay suerte y damos matarile a algunos mas, saludos

c.pascual · Mensaje por **c.pascual** » 15 Ene 2010, 23:56

Ahí va el Sproclog.txt

(15-1-2010 22:22:22 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: PRINCIPAL

Nombre Usuario: Carlos P

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\SHARED FILES\CTAUDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\APPLICATION UPDATER\APPLICATIONUPDATER.EXE

C:\ARCHIVOS DE PROGRAMA\IVT CORPORATION\BLUESOLEIL\BTNTSERVICE.EXE

C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

C:\WINDOWS\SYSTEM32\SLSERV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\MSPMSPSV.EXE

C:\ARCHIVOS DE PROGRAMA\VODAFONE\VODAFONE MOBILE CONNECT\BIN\VMCSERVICE.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\SBAUDIGY2ZS\SURROUND MIXER\CTSYSVOL.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\WINDOWS\ZHOTKEY.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIV~1\NOKIA\NOKIAP~1\LAUNCH~1.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\PHOTOSHOP ALBUM STARTER EDITION\3.0\APPS\APDPROXY.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\SBAUDIGY2ZS\DVDAUDIO\CTDVDDET.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 8.0\READER\READER_SL.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\QUICK SEARCH BOX\GOOGLEQUICKSEARCHBOX.EXE

C:\WINDOWS\SYSTEM32\CTHELPER.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE

C:\ARCHIVOS DE PROGRAMA\VODAFONE\VODAFONE MOBILE CONNECT\BIN\MOBILECONNECT.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NOKIA\MPLATFORM\NOKIAMSERVER.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA MUSIC\NOKIAMUSIC.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLUSBSRV.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT ACTIVESYNC\WCESCOMM.EXE

C:\ARCHIV~1\MICROS~4\RAPIMGR.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQIMZONE.EXE

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\DOWNLD\1874625.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\CARLOS P\DESCARGAS INTERNET\S P R O C E S 4 . 3\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\SearchSettings.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Archivos de programa\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: IEVkbdBHO Class - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\SearchSettings.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Archivos de programa\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Creative Detector] "C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe" /R

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [RemoteCenter] C:\Archivos de programa\Creative\MediaSource\RemoteControl\RcMan.exe

O4 - HKCU\..\Run: [RemoteControl]

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CHotkey] zHotkey.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [MISAggregator]

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [CTDVDDET] "C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Archivos de programa\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [RemoteCenter]

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent

O4 - HKLM\..\Run: [NokiaMServer] C:\Archivos de programa\Archivos comunes\Nokia\MPlatform\NokiaMServer /watchfiles

O4 - HKLM\..\Run: [Nokia FastStart] "C:\Archivos de programa\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart

O4 - HKLM\..\Run: [SearchSettings] C:\Archivos de programa\Search Settings\SearchSettings.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk

O4 - Global Startup: Microsoft Office.lnk

O8 - Extra context menu item: Agregar al componente Anti-Banners - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O9 - Extra button: Estadísticas de protección del tráfico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WSHBTH.DLL

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.es/s/v/31.41/uploader2.cab

O16 - DPF: {4D0A481A-7155-498C-84D8-9CB84DEA237E} (DVROcxEx Control) - http://80.35.164.198:81//DVROcxEx.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVRX) - http://www.devalvr.com/instalacion/plugin/devalocx.cab

O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {A9F8D9EC-3D0A-4A60-BD82-FBD64BAD370D} (DDRevision Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f007.mail.lycos.es/app/uploader/FileUploader.cab

O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} (Java Plug-in 1.4.2) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15108/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A36DA5A-BD05-4532-A3CB-1FB75AFC5BDC}: NameServer = 80.58.32.97,80.58.0.33

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\ARCHIV~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\ARCHIV~1\KASPER~1\KASPER~1\adialhk.dll,C:\ARCHIV~1\KASPER~1\KASPER~1\kloehk.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - (no file)

O20 - Winlogon Notify: KLOGON - C:\WINDOWS\SYSTEM32\KLOGON.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Application Updater - Spigot, Inc. - C:\Archivos de programa\Application Updater\ApplicationUpdater.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Archivos de programa\Creative\Shared Files\CTAudSvc.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EPSONStatusAgent2 - Unknown owner - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe (file missing)

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: hmonitor - AB Software - C:\WINDOWS\system32\drivers\hmonitor.sys

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: McDetect.exe - Unknown owner - c:\archivos de programa\mcafee.com\agent\mcdetect.exe (file missing)

O23 - Service: McTskshd.exe - Unknown owner - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe (file missing)

O23 - Service: PfDetNT - Creative Technology Ltd. - C:\WINDOWS\system32\drivers\PfModNT.sys

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Archivos de programa\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Bluetooth Audio Service (BlueletAudio) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\blueletaudio.sys

O23 - Service: Bluetooth PAN Network Adapter (BT) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btnetdrv.sys

O23 - Service: Bluetooth USB For Bluetooth Service (Btcsrusb) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\btcusb.sys

O23 - Service: Bluetooth HID Enumerator (BTHidEnum) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\vbtenum.sys

O23 - Service: Bluetooth Network Filter (BTNetFilter) - Unknown owner - C:\WINDOWS\system32\drivers\BTNetFilter.sys

O23 - Service: COMMONFX - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\COMMONFX.SYS

O23 - Service: COMMONFX.SYS - Creative Technology Ltd - C:\WINDOWS\System32\drivers\COMMONFX.SYS

O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Archivos de programa\Archivos comunes\Creative Labs Shared\Service\CTAELicensing.exe

O23 - Service: Creative AC3 Software Decoder (ctac32k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctac32k.sys

O23 - Service: Creative Audio Driver (WDM) (ctaud2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctaud2k.sys

O23 - Service: CTAUDFX - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\CTAUDFX.SYS

O23 - Service: CTAUDFX.SYS - Creative Technology Ltd - C:\WINDOWS\System32\drivers\CTAUDFX.SYS

O23 - Service: Creative DVD-Audio Device Driver (ctdvda2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctdvda2k.sys

O23 - Service: CTERFXFX - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\CTERFXFX.SYS

O23 - Service: CTERFXFX.SYS - Creative Technology Ltd - C:\WINDOWS\System32\drivers\CTERFXFX.SYS

O23 - Service: Creative Proxy Driver (ctprxy2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctprxy2k.sys

O23 - Service: CTSBLFX - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\CTSBLFX.SYS

O23 - Service: CTSBLFX.SYS - Creative Technology Ltd - C:\WINDOWS\System32\drivers\CTSBLFX.SYS

O23 - Service: Creative SoundFont Management Device Driver (ctsfm2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ctsfm2k.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: E-mu Plug-in Architecture Driver (emupia) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\emupia2k.sys

O23 - Service: HUAWEI USB-NDIS miniport (ewusbnet) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbnet.sys

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Creative Hardware Abstract Layer Driver (ha10kx2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\ha10kx2k.sys

O23 - Service: Creative P16V HAL Driver (hap16v2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\hap16v2k.sys

O23 - Service: Creative P17V HAL Driver (hap17v2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\drivers\hap17v2k.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys

O23 - Service: Huawei DataCard USB Fake (hwusbfake) - Huawei Technologies Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbfake.sys

O23 - Service: Kaspersky Lab KLFltDev (KLFLTDEV) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\klfltdev.sys (file missing)

O23 - Service: Kaspersky Anti-Virus NDIS Filter (klim5) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\klim5.sys (file missing)

O23 - Service: Mtlmnt5 - - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlmnt5.sys

O23 - Service: Mtlstrm - - C:\WINDOWS\SYSTEM32\DRIVERS\Mtlstrm.sys

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: NtMtlFax - - C:\WINDOWS\SYSTEM32\DRIVERS\NtMtlFax.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio Enumerator (nvax) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvax.sys

O23 - Service: NVIDIA nForce MCP Networking Controller Driver (NVENET) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENET.sys

O23 - Service: Service for NVIDIA(R) nForce(TM) Audio (nvnforce) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\drivers\nvapu.sys

O23 - Service: TwinkleCam Pro USB Camera (OM518P) - OmniVision Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\om518vid.sys

O23 - Service: Creative OS Services Driver (ossrv) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\ctoss2k.sys

O23 - Service: PCAMPR5 NDIS Protocol Driver (PCAMPR5) - Unknown owner - C:\WINDOWS\system32\PCAMPR5.SYS (file missing)

O23 - Service: PCANDIS5 NDIS Protocol Driver (PCANDIS5) - Printing Communications Assoc., Inc. (PCAUSA) - C:\WINDOWS\System32\PCANDIS5.SYS

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Nokia\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SmartLink AMR_PCI Driver (Slntamr) - - C:\WINDOWS\SYSTEM32\DRIVERS\slntamr.sys

O23 - Service: SlNtHal - - C:\WINDOWS\SYSTEM32\DRIVERS\Slnthal.sys

O23 - Service: SlWdmSup - - C:\WINDOWS\SYSTEM32\DRIVERS\SlWdmSup.sys

O23 - Service: Alcor Micro Corp - 9360 (SunkFilt) - Alcor Micro Corp. - C:\WINDOWS\System32\Drivers\sunkfilt.sys

O23 - Service: Alcor Micro Corp - 3239 (SunkFilt39) - Alcor Micro Corp. - C:\WINDOWS\System32\Drivers\sunkfilt39.sys

O23 - Service: HP && Alcor Micro Corp for Phison (Sunkfiltp) - Unknown owner - C:\WINDOWS\System32\Drivers\sunkfiltp.sys (file missing)

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TSP - Unknown owner - C:\WINDOWS\system32\drivers\klif.sys (file missing)

O23 - Service: upperdev - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys

O23 - Service: UsbserFilt - Windows (R) Codename Longhorn DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerfltj.sys

O23 - Service: Virtual Serial port driver (VComm) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\VComm.sys

O23 - Service: Bluetooth VComm Manager Service (VcommMgr) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\VcommMgr.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

O23 - Service: mcupdmgr.exe - Unknown owner - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe (file missing)

86 Servicios.

19 de Carga Automatica.

62 de Carga Manual.

5 Deshabilitados.

Se me olvidó comentaros que tampoco me deja restaurar sismtema con los puntos de restauración de la última semana y que no me reconoce unidades (lector de tarjetas integrado, y disco duro conectado por USB.

Mensaje por **msc hotline sat** » 16 Ene 2010, 08:17

Envienos estos ficheos para analizar:

C:\ARCHIVOS DE PROGRAMA\APPLICATION UPDATER\APPLICATIONUPDATER.EXE

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\DOWNLD\1874625.EXE

C:\Archivos de programa\Search Settings\SearchSettings.dll

C:\Archivos de programa\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll

y elimine esta clave:

O20 - Winlogon Notify: DIMSNTFY - (no file)

>~~[b]~~ENVIO DE MUESTRAS Y ELIMINACION DE

CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en

nuestras utilidades, de lo cual informaremos

saludos

ms, 16-1-2010

c.pascual · Mensaje por **c.pascual** » 16 Ene 2010, 19:46

[quote="msc hotline sat"]Envienos estos ficheos para analizar:

C:\ARCHIVOS DE PROGRAMA\APPLICATION UPDATER\APPLICATIONUPDATER.EXE

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\DOWNLD\1874625.EXE

C:\Archivos de programa\Search Settings\SearchSettings.dll

C:\Archivos de programa\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll

y elimine esta clave:

O20 - Winlogon Notify: DIMSNTFY - (no file)

[/quote]

C:\ARCHIVOS DE PROGRAMA\APPLICATION UPDATER\APPLICATIONUPDATER.EXE

NO CONSIGO VER LA CARPETA APPLICATION UPDATER.

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\DOWNLD\1874625.EXE

lA CARPETA DRIVERS LA VEO VACÍA.

C:\Archivos de programa\Search Settings\SearchSettings.dll

C:\Archivos de programa\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll

De estos dos envío muestra.

Mensaje por **msc hotline sat** » 16 Ene 2010, 20:03

Estos ficheros los tienes en uso, así que seguro que los tenías cuando generaste el log...

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\DOWNLD\1874625.EXE

C:\ARCHIVOS DE PROGRAMA\APPLICATION UPDATER\APPLICATIONUPDATER.EXE

Si no los encuentras, prueba con el ELIMOVER, seleccionas ruta y nombre con un copiar y pegar de cada una de las lineas, y lo pegas en el ELIMOVER, asi los copiará en C:\muestras, desde donde te será fácil enviarnoslos.

ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp

saludos

ms, 16-1-2010

c.pascual · Mensaje por **c.pascual** » 16 Ene 2010, 21:34

Del primero fichero, con ELIMOVER, me dice que no existe.

Del segundo os envío muestra.

He conseguido con ELIBAGLE reiniciar en modo seguro, lo he vuelto a ejecutar y os posteo el INFOSAT.TXT.

(16-1-2010 19:14:53)

EliBagle v13.42 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Eliminado Bagle(rootkit)

Eliminado Servicio, "srosa"

(16-1-2010 19:14:58)

EliBagle v13.42 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Carlos P\Datos de programa\m\FLEC006.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 11460

Nº Total de Ficheros: 141511

Nº de Ficheros Analizados: 19454

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Me surge una duda, Ahora podría restaurar el sistema a un punto de restauración anterior a la infección?

Mensaje por **lucl** » 16 Ene 2010, 23:26

Espera un poco pues aun tienes bagles que debemos eliminar. Cuando se analice todo lo que has enviado ( el lunes) te damos la herramienta necesaria y los eliminas del todo. Luego tendras que reinstalar de nuevo el antivirus ya sabes pero ten un poco de paciencia que ya hemos quitado varios, saludos

Mensaje por **msc hotline sat** » 17 Ene 2010, 08:18

Como dice lucl, el lunes analizaremoa la muestra que nos has enviado, pero como que parece que el Bagle ya lo has eliminado, desinstala el antivirus e instalalo de nuevo, a ver si asi ya funciona.

Y con las otras aplicaciones que no funcionen, haz lo mismo, pues el bagle las puede haber corrompido.

Tras analizar la muestra, informaremos

Dinos por tu parte si tras lo indicado y reiniciar, persiste alguna anomalia, gracias

saludos

ms, 17-1-2010

Mensaje por **msc hotline sat** » 18 Ene 2010, 11:01

Pues pasamos a implementar el control del WINUPGRO como nueva variante del Bagle en el ELIBAGLA de hoy 13.43 y el toolbar del Dealio como Widgi toolbar a partir del ELISTARA de hoy 20.13

A partir de las 19 h GMT, estarán disponibles en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 18-1-2010

c.pascual · Mensaje por **c.pascual** » 18 Ene 2010, 14:28

[quote="lucl"]Espera un poco pues aun tienes bagles que debemos eliminar. Cuando se analice todo lo que has enviado ( el lunes) te damos la herramienta necesaria y los eliminas del todo. Luego tendras que reinstalar de nuevo el antivirus ya sabes pero ten un poco de paciencia que ya hemos quitado varios, saludos[/quote]

No es que sea impaciente, pues con esta es la tercera vez que me solucionais problemas similares y de lo que estoy enormemente agradecido. Simplemente preguntaba si antes de reinstalar programas (antivirus, impresora, etc...) sería efectivo probar a restaurar el sistema con un punto de control anterior a la infección, ya que en su día lo intenté y no me dejó.

Mensaje por **msc hotline sat** » 18 Ene 2010, 15:28

Claro, si puedes sí, solo ten presente que perderás lo que hayas instalado desde entonces, incluidos parches, por lo que si logras lanzar la restauracion de sistema, luego reinstala lo que hubieras instalado desde dicha fecha.

saludos

ms, 18-1-2010

nota:

Por ello en https://foros.zonavirus.com/viewtopic.php?f=5&t=26947 , decimos :

[quote] Si se tiene activa la RESTAURACION DEL SISTEMA, es posible solucionar muchos problemas, en sistemas como XP, simplemente con restaurar a un punto anterior, lo mas próximo al actual, pero anterior a la entrada del intruso, o sea antes de que empezaran las anomalias. Con ello se perderán las instalaciones posteriores, incluidos parches, por lo que luego se deberan volver a implementar, pero con ello se logra restablecer la normalidad y es especialmente útil en casos de virus desconocidos o problemáticos. Y para facilitar el acceso a ello, disponemos de la utilidad ELRSTRUI.EXE que presenta el calendario de posibles restauraciones a las que se puede acceder con la utilidad de Microsoft, a la que nosotros, con el ELRSTRUI, facilitamos el acceso:

ELRSTRUI

http://www.zonavirus.com/descargas/elrstrui.asp[/quote] ms.

c.pascual · Mensaje por **c.pascual** » 18 Ene 2010, 20:13

Una vez pasadas ambas utilizadas posteo Infosat.txt

(18-1-2010 18:17:2)

EliBagle v13.43 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

(18-1-2010 18:17:7)

EliBagle v13.43 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Creative\MediaSource\Detector\CTDETECT.EXE --> Eliminado Bagle dldr

C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMAN.EXE --> Eliminado Bagle dldr

C:\Archivos de programa\Windows Live\Messenger\MSNMSGR.EXE --> Eliminado Bagle dldr

C:\Documents and Settings\Carlos P\Datos de programa\drivers\WINUPGRO.EXE --> Eliminado Bagle dldr

C:\Muestras\WINUPGRO.EXE.MUESTRA ELIBAGLE V13.42 --> Eliminado Bagle dldr

Nº Total de Directorios: 11468

Nº Total de Ficheros: 141835

Nº de Ficheros Analizados: 19457

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

(18-1-2010 18:30:52 (GMT))

EliStartPage v20.13 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\UNINSTALL.EXE.Muestra EliStartPage v20.13

a "virus@satinfo.es". Gracias.

C:\WINDOWS\UNINSTALL.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\PHCVTHJ0E9AG.BMP --> Eliminado

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(18-1-2010 18:31:19 (GMT))

EliStartPage v20.13 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Dealio Toolbar\IE\4.0.2\DEALIOTOOLBARIE.DLL --> Eliminado, Malware.Widgi(tb)

Nº Total de Directorios: 11457

Nº Total de Ficheros: 141351

Nº de Ficheros Analizados: 31065

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Envío, la muestra que se me solicita e intento restaurar sistema y os cuento.

Mensaje por **msc hotline sat** » 18 Ene 2010, 20:30

Pues si que te han hecho provecho las nuevas versiones de hoy ! :)

Casi lo tienes todo solucionado, solo falta ver la muestra que te pedimos, pero que ya hemos aparcado en C:\muestras, asi que tras reiniciar ya no debería persistir ninguna anomalía, confirmanoslo, gracias

saludos

ms, 18-1-2010

c.pascual · Mensaje por **c.pascual** » 18 Ene 2010, 21:40

Aparentemente todo correcto.

No pude restaurar sistema puesto que se me borraron todos los puntos de control.

Pero tras reinstalar antivirus, aparentemente va bien.

Me vuelve a reconocer la impresora y la lectora de tarjetas que había perdido.

Ya me diréis si hay que hacer algo más. Pero muchísimas gracias por todo.

Mensaje por **lucl** » 18 Ene 2010, 22:21

Pues ahora ya simplemente espera que analicen la muestra que enviaste hoy y a ver que te dicen. Si sale virica pues te damos la herramienta y la pasas y si ya no tienes ninguna anomalia mas pues listo. Pero atento mañana a tu post ok? :D saludos

c.pascual · Mensaje por **c.pascual** » 19 Ene 2010, 00:37

He actualizado el Kaspersky y lo estoy pasando.

Me está dando una cantidad de Troyanos hasta en ficheros que he creado yo muy grande (Trojan-Downloader.Win32.Bagle.cez)

Algunos los procesa, otros los pospone.

Me parecen muchos virus. Sobre todo me extraña en los ficheros que he creado yo (además en vuestras herramientas también lo indica: elitrip, elistara, etc....).

Mensaje por **msc hotline sat** » 19 Ene 2010, 07:02

Sobre la deteccion de virus en nuestras utilidades, no hagas caso, son falsos positivos, ya que si estuvieran infectardas, saltaría el comprobador de cheksum que llevan incorporado y no funcionarían, indicando estar modificadas.

Y en los ficheros donde el KAV detecte Bagle, tras haberlo eliminado con el ELIBAGLA, envienoslos tambien para analizar, a ver si son restos o qué.

saludos

ms, 19-1-2010

Mensaje por **msc hotline sat** » 19 Ene 2010, 12:55

Recibido muestra de fichero Unininstall.exe no se detecta infeccion, solo está ubicado en una carpeta que no corresponde a su aplicacion. Mejor borrarlo.

Y sobre cantidad de ficheros que decia detectar afectados por el Bagle, como sea que este virus corrompe muchas aplicaciones, igual son ficheros dañados por el bagle, cuyas aplicaciones deberan reinstalarse, pero para saber si es esto y proceder en consecuencia, mira de enviarnos algunos de estos ficheros en elos que el KAV te detecta, segun dices:

"Me está dando una cantidad de Troyanos hasta en ficheros que he creado yo muy grande (Trojan-Downloader.Win32.Bagle.cez)"

A su recepcion, los analizaremos e informaremos

saludos

ms, 19-1-2010

NOTA: Y sobre los falsos positivos de algunos antivirus en nuestras utilidades, ver:

https://foros.zonavirus.com/viewtopic.php?f=5&t=26228 ms.

c.pascual · Mensaje por **c.pascual** » 19 Ene 2010, 20:04

Bueno. Pues entrando a reparar los ficheros que se supone tienen troyanos, he intentado con ELIMOVER enviar algunos a c:muestras y no me deja.

Me dice que ficheros no existen.

He buscado manualmente dos de ellos y os envío muestra.

De los que yo he hecho (word, mp3, etc...) me dice ELIMOVER que no existe, con lo que estoy reparando los ficheros según me va recomendando KAV.

Mensaje por **msc hotline sat** » 19 Ene 2010, 21:15

Pues mañana, de vuelta al trabajo en SATINFO, veremos estos dos que dices habernos enviado y tras analizarlos informaremos

saludos

ms, 19-1-2010

Mensaje por **msc hotline sat** » 20 Ene 2010, 16:52

Solo hemos recibido un fichero con extension .EXE que no es tal, sino un HTML, que puedes eliminar, sin que implementemos su control al no ser operativo.

Dinos si persiste alguna anomaliía o podemos dar por solucionado el Tema, gracias

saludos

ms, 20-1-2010

c.pascual · Mensaje por **c.pascual** » 20 Ene 2010, 18:46

En principio no parece que haya ninguna anomalía más.

KAV reparó, eliminó lo necesario y de momento parece que todo va bien.

Podéis cerrar el tema.

Muchísimas gracias otra vez.

Mensaje por **msc hotline sat** » 20 Ene 2010, 18:59

Bueno, no se olvide de lo que hizo el ELIBAGLA ! :)

[quote](15-1-2010 20:32:33)

EliBagle v13.42 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.42

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\SROSA2.SYS --> Eliminado Bagle(rootkit)

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\DOWNLD\255765.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\DOWNLD\267656.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\DOWNLD\656000.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\CARLOS P\DATOS DE PROGRAMA\DRIVERS\DOWNLD\661578.EXE --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.[/quote]

Pues damos el Tema por solucionado y procedemos a cerrarlo

saludos

ms, 20-1-2010

VIRUS (SOLUCIONADO)

VIRUS (SOLUCIONADO)

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS

Re: VIRUS