He perdido el control del ordenador por un virus

[bodhran]

Hola a todos.

Tengo instalado el Windows Vista Home Premium. Hace unos días me entró en virus (creo que el bagle) y he ido perdiendo paulatinamente el control del ordenador. Primero me inutilizo el antivirus (avast) y la conexión a Internet, la posibilidad de restaurar sistema y el acceso a algunos programas. Después se ha hecho con el control de los servicios básicos y ahora ya no sólo no puedo emplear esas utilidades (me pone "acceso denegado" en casi todas las carpetas), sino que no puedo ni entrar en modo normal, ya que no es capaz de cargar el perfil de usuario al principio.

Sí puedo arrancar en modo seguro, y desde ahí pasar el antivirus (que no detecta nada, pero que tiene restringido el acceso a determinadas carpetas del sistema), el elibagla (versión 13.40, que la primera vez sí me detectó archivos infectados -winupgro.exe-), pero después ya no detecta nada y tampoco puede acceder a algunas carpetas), y otros programas antispyware que he ido probando con resultados negativos.

Les posteo el informe del Eligabla primero (en modo a prueba de errores) y del Hijackthis después. Les agradecería muchísimo su ayuda y cualquier recomendación, acción o programa para no llegar a formatear (si es posible). Gracias por todo.



(14-1-2010 18:47:3)

EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(14-1-2010 18:47:19)

EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Windows"



Nº Total de Directorios: 14738

Nº Total de Ficheros: 116694

Nº de Ficheros Analizados: 16812

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-1-2010 23:51:25)

EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(15-1-2010 23:51:53)

EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Windows\System32"



Nº Total de Directorios: 1688

Nº Total de Ficheros: 19899

Nº de Ficheros Analizados: 5058

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-1-2010 23:58:18)

EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(15-1-2010 23:58:32)

EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 33831

Nº Total de Ficheros: 305123

Nº de Ficheros Analizados: 33391

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Logfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 0:39:05, on 16/01/2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18865)

Boot mode: Safe mode with network support



Running processes:

C:\Windows\Explorer.EXE

C:\Windows\helppane.exe

C:\Windows\Explorer.exe

C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file)

O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\COMMON~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll

O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - (no file)

O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)

O2 - BHO: (no name) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - (no file)

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\Windows\system32\WLTRAY.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO

O4 - HKUS\S-1-5-18\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c (User '?')

O4 - HKUS\S-1-5-18\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO (User '?')

O4 - HKUS\.DEFAULT\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 4.00\AMVConverter\grab.html

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.00\MediaManager\grab.html

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll

O18 - Filter hijack: text/xml - (no CLSID) - (no file)

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll

O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll

O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll

O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe

O23 - Service: @%SystemRoot%\system32\aelupsvc.dll,-1 (AeLookupSvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Andrea RT Filters Service (AERTFilters) - Andrea Electronics Corporation - C:\Windows\system32\AERTSrv.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe

O23 - Service: @%systemroot%\system32\appinfo.dll,-100 (Appinfo) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-204 (AudioEndpointBuilder) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-200 (Audiosrv) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: @%SystemRoot%\system32\bfe.dll,-1001 (BFE) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\qmgr.dll,-1000 (BITS) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%systemroot%\system32\browser.dll,-100 (Browser) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Servicio de compatibilidad con Bluetooth (BthServ) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\System32\certprop.dll,-11 (CertPropSvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe

O23 - Service: @%SystemRoot%\system32\dhcpcsvc.dll,-100 (Dhcp) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\System32\dnsapi.dll,-101 (Dnscache) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Dock Login Service (DockLoginService) - Stardock Corporation - C:\Program Files\Dell\DellDock\DockLogin.exe

O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Servicio de directivas de diagnóstico (DPS) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\ehome\ehrecvr.exe,-101 (ehRecvr) - Unknown owner - C:\Windows\ehome\ehRecvr.exe

O23 - Service: @%SystemRoot%\ehome\ehsched.exe,-101 (ehSched) - Unknown owner - C:\Windows\ehome\ehsched.exe

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\emdmgmt.dll,-1000 (EMDMgmt) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (Eventlog) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @comres.dll,-2450 (EventSystem) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%systemroot%\system32\fdPHost.dll,-100 (fdPHost) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%systemroot%\system32\fdrespub.dll,-100 (FDResPub) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: @%systemroot%\system32\FntCache.dll,-100 (FontCache) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Administrador de Google Desktop 5.9.909.30391 (GoogleDesktopManager-093009-130223) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: @%SystemRoot%\System32\hidserv.dll,-101 (hidserv) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\kmsvc.dll,-6 (hkmsvc) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: hpqcxs08 - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Servicio HP CUE DeviceDiscovery (hpqddsvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%systemroot%\system32\IPBusEnum.dll,-102 (IPBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\iphlpsvc.dll,-200 (iphlpsvc) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe

O23 - Service: @comres.dll,-2946 (KtmRm) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%systemroot%\system32\wkssvc.dll,-100 (LanmanWorkstation) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: @%SystemRoot%\system32\lltdres.dll,-1 (lltdsvc) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: @%systemroot%\system32\mmcss.dll,-100 (MMCSS) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Firewall de Windows (MpsSvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe

O23 - Service: @%SystemRoot%\system32\iscsidsc.dll,-5000 (MSiSCSI) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Windows Installer (msiserver) - Unknown owner - C:\Windows\System32\msiexec.exe

O23 - Service: @%SystemRoot%\system32\qagentrt.dll,-6 (napagent) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: Net Driver HPZ12 - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe

O23 - Service: @%SystemRoot%\system32\netman.dll,-109 (Netman) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\netprof.dll,-246 (netprofm) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\System32\nlasvc.dll,-1 (NlaSvc) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\nsisvc.dll,-200 (nsi) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8004 (p2pimsvc) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8006 (p2psvc) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\pcasvc.dll,-1 (PcaSvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%systemroot%\system32\pla.dll,-500 (pla) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8002 (PNRPAutoReg) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8000 (PNRPsvc) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Servicio de perfil de usuario (ProfSvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%windir%\WindowsMobile\rapimgr.dll,-104 (RapiMgr) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%Systemroot%\system32\rasauto.dll,-200 (RasAuto) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%Systemroot%\system32\rasmans.dll,-200 (RasMan) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Enrutamiento y acceso remoto (RemoteAccess) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Registro remoto (RemoteRegistry) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe

O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: @%SystemRoot%\System32\SCardSvr.dll,-1 (SCardSvr) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\System32\certprop.dll,-13 (SCPolicySvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\Sens.dll,-200 (SENS) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\System32\SessEnv.dll,-1026 (SessionEnv) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: Conexión compartida a Internet (ICS) (SharedAccess) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-12288 (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe

O23 - Service: @%SystemRoot%\system32\SLUINotify.dll,-103 (SLUINotify) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe

O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe

O23 - Service: @%systemroot%\system32\ssdpsrv.dll,-100 (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\sstpsvc.dll,-200 (SstpSvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\wiaservc.dll,-9 (stisvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\sysmain.dll,-1000 (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\TabSvc.dll,-100 (TabletInputService) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\tapisrv.dll,-10100 (TapiSrv) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\System32\termsrv.dll,-268 (TermService) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-8192 (Themes) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%systemroot%\system32\mmcss.dll,-102 (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\trkwks.dll,-1 (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe

O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe

O23 - Service: @%systemroot%\system32\upnphost.dll,-213 (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\dwm.exe,-2000 (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\System32\uxtuneup.dll,-4096 (UxTuneUp) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe

O23 - Service: @%SystemRoot%\system32\w32time.dll,-200 (W32Time) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%windir%\WindowsMobile\wcescomm.dll,-40079 (WcesComm) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\wcncsvc.dll,-3 (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\WcsPlugInService.dll,-200 (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%systemroot%\system32\wdi.dll,-502 (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%systemroot%\system32\wdi.dll,-500 (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%systemroot%\system32\webclnt.dll,-100 (WebClient) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\wecsvc.dll,-200 (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\System32\wercplsupport.dll,-101 (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: Windows Defender (WinDefend) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%Systemroot%\system32\wsmsvc.dll,-101 (WinRM) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: Configuración automática de WLAN (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\wmpnetwk.exe

O23 - Service: Control parental (WPCSvc) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\wpdbusenum.dll,-100 (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: Centro de seguridad (wscsvc) - Unknown owner - C:\Windows\System32\svchost.exe

O23 - Service: Windows Update (wuauserv) - Unknown owner - C:\Windows\system32\svchost.exe

O23 - Service: @%SystemRoot%\system32\wudfsvc.dll,-1000 (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe



--

End of file - 24460 bytes

[bodhran]

Os envío también otro informe del elibagla, resultado del primer escaneo al sistema en modo normal. Me temo que no podré enviar muestras ya que creo que eliminé el fichero, y ahora no puedo acceder por los motivos mencionados más arriba.



(11-1-2010 20:5:55)

EliBagle v13.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.40

a "virus@satinfo.es". Gracias.

C:\USERS\JOSEVI\APPDATA\ROAMING\DRIVERS\WINUPGRO.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\SROSA2.SYS --> Eliminado Bagle(rootkit)

Eliminado Servicio, "srosa"

Eliminada Carpeta "%AppData%\Drivers"

Eliminada Carpeta "%AppData%\M"





Acceso denegado C:archivosprograma\Adobe\Acrobat8\Resource\cmap16

[msc hotline sat]

Pues tenías un Bagle, que dispone de Rootkit para ocultar ficheros y claves, y por ello no es visible en los logs, pero sí que lo casa el ELIBAGLA



Mira si tienes este fichero en C:\MUESTRAS y nos lo envias para analizar y controlar:



Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.40

a "virus@satinfo.es". Gracias.





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 16-1-2010





NOTA: Evidentemente el analisis del ELIBAGLA del dia 11 corrigio las claves y demás, por ello luego, el dia 14 pudiste arrancar en modo seguro, sino no hubieras podido...



Y como que el fichero malware ya estaba aparcado en C:\muestras, no detectó infección, si bien necesitaríamos el fichero aparcado en C:\muestras para controlarlo totalmente en el futuro, y entonces incluso el ELISTARA lo eliminaría de dicha carpeta



Si puedes, envianoslo, y sino, dinoslo para cerrar el Tema.



y para otra vez, recuerda además https://foros.zonavirus.com/viewtopic.php?f=13&t=29543

[bodhran]

Gracias por la respuesta.



No me aparece la carpeta "Muestras" en el disco duro C. Por tanto no voy a poder enviaros ninguna muestra. Sí que me gustaría saber si de todas maneras se puede hacer algo antes de formatear, pues evidentemente mi ordenador sigue estando infectado y no puedo ni siquiera acceder a entrar en modo normal, por no cargar o encontrar el perfil de usuario.



Espero alguna sugerencia. Si se trata ya de un tema nuevo, me lo decís, y cierro este post.

[msc hotline sat]

Pues si ya puedes arrancar en modo seguro, el Bagle ya no está activo, por lo que puede que haya algun otro malware, alguno de los cuales no se ven en los logs, como este Bagle, o los Palevo, otros RootKits y demás.



Siempre estás a tiempo de formatear, pero si dices que no puedes entrar en modo normal con tu usuario, igual alguno de los que afecta al userinit.exe te está afectando.



Arranca en modo normal y prueba las ultimas verrsiones de estas otras dos utilidades, el ELISTARA y el ELIPALEVO ,


[quote="msc"]


[b] ELISTARA.EXE: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELIPALEVO.EXE: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp



Si en el informe indicara que necesita el ELINOTIF.DLL, descarguela en la misma carpeta que el ELISTARA y lancelo de nuevo, lo cual pedirá reiniciar para terminar la limpieza.



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 17-1-2010

[bodhran]

Entiendo que haya otros virus que han afectado al rendimiento de mi ordenador hasta hacerse con el control. Voy a intentar probar esas dos utilidades que me habéis dicho, pero tendrá que ser en modo seguro, ya que como dije antes no me deja acceder en modo normal.

Si no funcionan en ese modo, por favor, házmelo saber para plantear alguna otra alternativa.



Gracias

[msc hotline sat]

No, no, mejor en modo seguro !



saludos



ms, 17-1-2010

[bodhran]

Ya le he pasado el ELISTARA y el ELIPALEVO. En el primero me ha creado una carpeta con dos archivos en C:\MUESTRAS que ya os he enviado para su análisis. Pero después se ha quedado como bloqueado mientras corregía el registro.

El segundo, en cambio, no ha encontrado ningún archivo infectado. Sin embargo, no ha podido acceder a las mismas carpetas ("acceso denegado") que el ELIBAGLA.



Después he reiniciado en modo normal, pero me sigue impidiendo acceder, ya que no carga el perfil de usuario.

Os posteo el informe:



(17-1-2010 22:24:56 (GMT))

EliStartPage v20.12 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{1984DD45-52CF-49cd-AB77-18F378FEA264}"]

Por favor, envienos una muestra del fichero

C:\Muestras\FENCESMENU.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\CTBR.DLL.Muestra EliStartPage v20.12

a "virus@satinfo.es". Gracias.

C:\PROGRA~1\CRAWLER\CTBR.DLL --> Eliminado

C:\PROGRA~1\CRAWLER\SHARED\CSHARED.DLL --> Eliminado CrawlerToolbar

Eliminada Class, "{183643C8-EE67-4574-9A38-927852E34163}" -> NULL1

Eliminada Class, "{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}" -> C:\PROGRA~1\Crawler\ctbr.dll

Eliminada Class, "{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" -> C:\PROGRA~1\Crawler\ctbr.dll

Eliminada Class, "{4D25FB7A-8902-4291-960E-9ADA051CFBBF}" -> C:\PROGRA~1\Crawler\ctbr.dll

Eliminada Class, "{54ECA872-DB2A-4C6B-BBB2-F3777C6786CC}" -> NULL1

Eliminada Class, "{8736C681-37A0-40C6-A0F0-4C083409151C}" -> NULL1

Eliminada Class, "{DB35C569-5624-4CFC-8043-E5139F55A073}" -> C:\PROGRA~1\Crawler\Shared\CShared.dll

Eliminada Class, "{EFB46ED3-8FD8-4051-8FD6-DD9CE7E63BEF}" -> C:\PROGRA~1\Crawler\Shared\CShared.dll



(17-1-2010 22:38:09) (GMT)

EliPalevo v1.34 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



(17-1-2010 22:38:33) (GMT)

EliPalevo v1.34 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 33806

Nº Total de Ficheros: 304790

Nº de Ficheros Analizados: 6370

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(17-1-2010 22:51:18 (GMT))

EliStartPage v20.12 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{1984DD45-52CF-49cd-AB77-18F378FEA264}"]

Por favor, envienos una muestra del fichero

C:\Muestras\FENCESMENU.DLL

a "virus@satinfo.es". Gracias.





Espero vuestra respuesta

[msc hotline sat]

Pues ya ves que se te pide que nos envies dos muestras para analizar:



Por favor, envienos una muestra del fichero

C:\Muestras\FENCESMENU.DLL



Por favor, envienos una muestra del fichero

C:\Muestras\CTBR.DLL.Muestra EliStartPage v20.12





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 18-1-2010

[msc hotline sat]

Recibidas muestras para analizar, se implementa el control de una de ellas en el ELISTARA de hoy, 20.14 :




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 19-1-2020

[bodhran]

Le he vuelto a pasar la nueva versión del ELISTARA, con los mismos resultados (negativos) de la última vez. Me sigue diciendo que envío un fichero para muestra (el mismo que ya os he enviado), y se ha vuelto a bloquear mientras restauraba el registro.

Después, he reiniciado y sigue sin dejarme acceder al no poder cargar el perfil de usuario.

Quedo a la espera que analicéis el otro archivo que os envié, y que me digáis que otras acciones (efectivas) puedo realizar para poder acceder al sistema.

Decidme si debo volver a enviar el mismo archivo de nuevo, y qué pasos debo seguir ahora.

Os posteo el resultado de este último análisis



(19-1-2010 19:18:48 (GMT))

EliStartPage v20.14 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{1984DD45-52CF-49cd-AB77-18F378FEA264}"]

Por favor, envienos una muestra del fichero

C:\Muestras\FENCESMENU.DLL

a "virus@satinfo.es". Gracias.

[bodhran]

Me he dado cuenta que tenía una carpeta en C: con la muestra del primer virus de bagle que me encontró el ELIBAGLA. Os lo envío junto con otros archivos infectados (hay más, os los envío mañana también si los necesitáis). Los he detectado pasándole el Panda online, pero no los ha podido desinfectar. Os posteo el resultado del análisis. Espero vuestra respuesta



;***********************************************************************************************************************************************************************************

ANALYSIS: 2010-01-20 00:54:07

PROTECTIONS: 1

MALWARE: 16

SUSPECTS: 4

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

avast! antivirus Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00148914 Cookie/Tucows TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@tucows[2].txt

00148914 Cookie/Tucows TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@tucows[1].txt

00167642 Cookie/Com.com TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@com[5].txt

00167642 Cookie/Com.com TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@com[8].txt

00167642 Cookie/Com.com TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@com[7].txt

00167642 Cookie/Com.com TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@com[6].txt

00167642 Cookie/Com.com TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@com[4].txt

00167642 Cookie/Com.com TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@com[3].txt

00167642 Cookie/Com.com TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@com[2].txt

00167642 Cookie/Com.com TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@com[1].txt

00167647 Cookie/Yadro TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@yadro[6].txt

00167647 Cookie/Yadro TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@yadro[5].txt

00167647 Cookie/Yadro TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@yadro[4].txt

00167647 Cookie/Yadro TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@yadro[3].txt

00167647 Cookie/Yadro TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@yadro[2].txt

00167647 Cookie/Yadro TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@yadro[1].txt

00167647 Cookie/Yadro TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@yadro[8].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@xiti[6].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@xiti[10].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@xiti[11].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@xiti[1].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@xiti[2].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@ca598jq9.txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@cacc9gyu.txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@xiti[9].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@xiti[8].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@xiti[3].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@xiti[7].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@cast6l4o.txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@xiti[5].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@xiti[4].txt

00167795 Cookie/Cd Freaks TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@club.cdfreaks[4].txt

00168076 Cookie/BurstNet TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@burstnet[4].txt

00168076 Cookie/BurstNet TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@burstnet[1].txt

00168076 Cookie/BurstNet TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@burstnet[3].txt

00168076 Cookie/BurstNet TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@burstnet[2].txt

00168076 Cookie/BurstNet TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@burstnet[5].txt

00168095 Cookie/888 TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@888[2].txt

00168095 Cookie/888 TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@888[3].txt

00168097 Cookie/BurstBeacon TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@www.burstbeacon[3].txt

00168097 Cookie/BurstBeacon TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@www.burstbeacon[2].txt

00168105 Cookie/Cd Freaks TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@cdfreaks[2].txt

00170533 Cookie/Adrevolver TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@mbe[1].txt

00170557 Cookie/Com.com TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@terra.com[1].txt

00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@bluestreak[4].txt

00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@bluestreak[5].txt

00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@bluestreak[1].txt

00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@bluestreak[3].txt

00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@bluestreak[2].txt

00262020 Cookie/Atwola TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@atwola[5].txt

00262020 Cookie/Atwola TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@atwola[3].txt

00262020 Cookie/Atwola TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@atwola[8].txt

00262020 Cookie/Atwola TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@atwola[2].txt

00262020 Cookie/Atwola TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@atwola[1].txt

00262020 Cookie/Atwola TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@atwola[4].txt

00262020 Cookie/Atwola TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@atwola[6].txt

00262020 Cookie/Atwola TrackingCookie No 0 Yes No c:\users\josevi\appdata\roaming\microsoft\windows\cookies\josevi@atwola[7].txt

00472699 Application/Deleter HackTools No 0 Yes No c:\program files\mp3 player utilities 4.00\deldrv.exe

05869130 W32/Bagle.KV.worm Virus No 1 Yes No c:\users\josevi\downloads\emule\incoming\stardock objectdock plus v1.11 incl keygen by ssg.zip[serial.exe]

05869130 W32/Bagle.KV.worm Virus No 1 Yes No c:\qoobox\quarantine\c\muestras\winupgro.exe.muestra elibagle v13.40.vir

05898765 Trj/Nabload.DPS Virus/Trojan No 0 No No c:\users\josevi\desktop\eliminar virus beagle\combofix.exe[32788r22fwjfw\catchme.cfxxe]

05898765 Trj/Nabload.DPS Virus/Trojan No 0 No No c:\users\josevi\desktop\combofix.exe[32788r22fwjfw\catchme.cfxxe]

;===================================================================================================================================================================================

SUSPECTS

Sent Location

;===================================================================================================================================================================================

No c:\program files\autoplay media studio 7.1.1000.0\ams70.exe

No c:\program files\dell\mediadirect\kernel\bd\audiofilter\claud_hbd.ax

No c:\users\josevi\appdata\roaming\downloaded installations\{9b5daf0d-f5a3-4739-aa18-dcbf4cbc873f}\{999b1078-6d06-4b7f-899a-4db1014cf20a}.msi[unk_0001][sfe.dat]

No c:\users\josevi\comunidades ii\update.exe

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description

;===================================================================================================================================================================================

;===================================================================================================================================================================================

[msc hotline sat]

Pues envianos estos que consideran virus, para analizar, aunque algunos nos parezcan falsos positivos



c:\program files\mp3 player utilities 4.00\deldrv.exe



c:\users\josevi\downloads\emule\incoming\stardock objectdock plus v1.11 incl keygen by ssg.zip[serial.exe]



c:\qoobox\quarantine\c\muestras\winupgro.exe.muestra elibagle v13.40.vir



c:\users\josevi\desktop\eliminar virus beagle\combofix.exe[32788r22fwjfw\catchme.cfxxe]



c:\users\josevi\desktop\combofix.exe[32788r22fwjfw\catchme.cfxxe]





y estos que dice sospechosos tambien:



c:\program files\autoplay media studio 7.1.1000.0\ams70.exe

c:\program files\dell\mediadirect\kernel\bd\audiofilter\claud_hbd.ax

c:\users\josevi\appdata\roaming\downloaded installations\{9b5daf0d-f5a3-4739-aa18-dcbf4cbc873f}\{999b1078-6d06-4b7f-899a-4db1014cf20a}.msi[unk_0001][sfe.dat]

c:\users\josevi\comunidades ii\update.exe



Aunque no parece que tengan relacion con el de marras, FENCESMENU.DLL, que quizas ha cambiado su contenido aun utilizando el mismo nombre...



Para lo último, pruebe el ELISTARA arrancando en modo seguro y nos informa, gracias



saludos



ms, 20-1-2010

[msc hotline sat]

Me indican haber recibido mas ficheros que los pedidos, los cuales se rechazan y se pasa a controlar el serial.exe y el WINUPGRO.EXE que son nuevas variantes de Bagle que se pasan a controlar en la nueva version del ELIBAGLA de hoy 13.45



Se anula por otra parte la deteccion del FENCESMENU.DLL en el ELISTARA 20.15, por considerarlo falso positivo.



Indicanos si tras probarlos persiste alguna anomalia o lo podemos dar por solucionado, gracias



saludos



ms, 20-1-2010

[bodhran]

Entonces decidme si simplemente le paso el nuevo ELIBAGLA (¿a qué hora estará disponible?) o también el ELISTARA. Este último se lo pasé ayer sin ningún resultado.

Respecto a los ficheros, además de los nuevos que os envié (entre ellos el WINUPGRO.EXE), decidme si necesitáis alguno más, porque en la carpeta me aparecen bastantes ficheros con la extensión .vir, tanto de carpetas normales como de carpetas de sistema.

Espero vuestra respuesta. Cuando pase en modo seguro estos programas y reinicie, ya os digo si he podido acceder o me sigue poniendo problemas al no cargar el perfil de usuario.



Gracias

[msc hotline sat]

A partir de las 19 horas estarán disponibles las nuevas versiones de nuestras utilidades.



Con que te descargues el ELIBAGLA 13.45 será suficiente para lo que quieres, pues el ELISTARA, aparte de lo que implementemos para otras muestras, en tu caso solo dejará de considerar sospechoso el FENCESMENU.DLL .



saludos



ms, 20-1-2010

[bodhran]

Me gustaría que me confirmarais que la versión del ELIBAGLA que debo aplicar es la 13.45, pues la que a estas horas (20:12h) está disponible en la web es la 13.44.

Gracias

[msc hotline sat]

Sí, ha de ser la 13.45:


[quote="ms"]
Asunto: NUEVAS VERSIONES DE UTILIDADES ELISTARA.EXE 20.15+ELIBAGLA.EXE 13.45



Para nuevas variantes viricas segun muestras recibidas, hemos desarrollado las nuevas versiones de:



ELISTARA



---v20.15-(20 de Enero del 2010) (Muestras de NaviPromo, TBConduit "TB****.DLL", (2)MyWebSearch "F3HISTSW y F3HTTPCT.DLL", Spy.Wsnpoem.LZ "WIN32OLD.EXE", InternetSecurity2010 "HELPER32.DLL" y (6)Clicker.Osewlone.AM)





ELIBAGLA



--v13.45-- (20 de Enero del 2010) (Muestras de (8)Bagle "WINUPGRO.EXE, FLEC006.EXE y WINTEMS.EXE")





Ya se han subido a esta web exclusivamente para pruebas de evaluacion en el foro de zonavirus



saludos


[/quote]

Voy a ver qué ha pasado con ella...

[msc hotline sat]

La que hay es la 13.45, la he descargado y al ejecutarla se ve asi, lo que está mal es el indice, voy a cambiarlo manteniendo dicha utilidad



Si la has bajado, compruebalo.



saludos y gracias por el aviso :)



ms, 20-1-2010







PD: CAMBIADO EL INDICE A 13.45 ms.

[bodhran]

Pasado el ELIBAGLA con los mismos resultados negativos de siempre. En este caso ha detectado el fichero que os había enviado y lo ha eliminado, pero nada más. Durante el análisis sigue sin poder acceder a determinadas carpetas, y después de reiniciar sigo sin poder entrar en modo normal, ya que no carga el perfil de usuario.

Quizá no sea el Bagle, pero tengo claro que mi ordenador está infectado y no consigo de ninguna de las maneras poder ni siquiera entrar. Puedo enviaros los otros ficheros con extensión .vir, que os dije que estaban en la carpeta C:\quoobox, pero me imagino que estarán latentes o inactivos, y que será otro (u otros) los que me impiden acceder a las funciones principales del sistema (carpetas incluidas).

Decidme qué puedo hacer de nuevo para solucionar el problema, o si ya no existe ninguna otra alternativa más que el formateo. Os posteo el último informe



(20-1-2010 20:47:2)

EliBagle v13.45 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(20-1-2010 20:47:7)

EliBagle v13.45 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 20 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Qoobox\Quarantine\C\Muestras\WINUPGRO.EXE.MUESTRA ELIBAGLE V13.40.VIR --> Eliminado Bagle dldr



Nº Total de Directorios: 33790

Nº Total de Ficheros: 304759

Nº de Ficheros Analizados: 33264

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues el ELIBAGLA hizo su función, detectó y eliminó el Bagle que tenías y restableció las claves que éste modificó, pero posiblemente haya algun otro malware como estos que aparcó este "quoobox" y posiblemente modificaran otras claves que no restauró...



Envienos estos ficheros que dice [b][i]"Puedo enviaros los otros ficheros con extensión .vir, que os dije que estaban en la carpeta C:\quoobox"[/i][/b], tras analizarlos, los monitorizaremos para ver las claves que modifican y tratar de restaurarlas.



recuerde:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 21-1-2010

[msc hotline sat]

En el preanalisis de los ficheros enviados solo hay alguna traza vírica en solo cinco ficheros, los cuales hemos analizado y son falsos positivos de detecciones heuristicas, complementarios del navipromo (que se hubieran eliminado con el ELISTARA si dicho virus se hubiera eliminado con dicha utilidad), y desinstaladores de alguna aplicacion y exportaciones de registro, todo lo cual no es significativo ni procede tenerlo en cuenta.



De todas formas agradecemos su colaboracion en el envio de dichos ficheros por si hubiera habido algo nuevo desconocido o descontrolado.



Mas bien le falta algun fichero o DLL, que puede haber borrado alguna de las aplicaciones que ha utilizado en sus intentos de eliminacion, por lo que lo unico que podemos aconsejarle es que lance una REPARACION DE SISTEMA, a ver si con ello lo regenera y recupera el arranque normal:



REPARACION DE SISTEMA


[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

Y nos cuenta el resultado, gracias



saludos



ms, 22-1-2010

[bodhran]

He hecho lo que me habéis sugerido y no ha funcionado. Creo que de alguna forma se han borrado los ficheros del perfil de usuario, y ahora no puedo crear una nueva cuenta de usuario desde el modo seguro, y por tanto no puedo entrar en el sistema operativo.

Solamente me queda preguntar (si fuera posible) cuáles son exactamente los archivos que hay en cada carpeta del perfil de usuario, dónde se encuentra, y si se podrían recuperar mediante algún programa. O bien si hay alguna posibilidad de crear un nuevo usuario con permisos de administrador desde la consola de ms-dos.



Gracias por todo vuestro interés y todos vuestros esfuerzos y tiempo en solucionar mi problema, aunque al final no haya sido posible. Yo seguiré intentando las opciones que se me vayan ocurriendo.

[msc hotline sat]

Si el CD de instalación usado para la REPARACION es el del Windows del equipo, ello no causa ningun perjuicio ya que solo sobreescribe los ficheros de sistema tal como eran originalmente, y lo único que se requiere luego es actualizar sus parches, por ello se debe lanzar un windowsupdate.



Entiendo que no has utilizado dicho CD, sino el de otro equipo con otra version, quizas, HOME en lugar de profesional o viceversa, o con otro idioma, etc.



Repite el proceso con con el CD del windows con el que estaba equipado tu ordenador y espero que se solucione el problema.



saludos



ms, 23-1-2010

[bodhran]

Repito que he hecho lo que me habéis indicado. El equipo venía con el Windows Vista Home Premium, y es el sistema que he utilizado hasta ahora. Con lo cual evidentemente que el cd que he usado es el mismo que me enviaron con la compra del ordenador, el original. Pero como dije me sigue pasando lo mismo. Intenta reparar el equipo, no encuentra nada, y me indica que reinicie o apague el ordenador. Solo me quedaba la opción de instalar de nuevo todo el sistema operativo desde cero, con lo cual ya me advierte que voy a perder todas las aplicaciones y archivos que se encuentren en el disco duro. Y eso es justamente lo que yo quería evitar, aunque me parece que será lo que acabaré haciendo.

De todas formas, gracias por la sugerencia.

[msc hotline sat]

Historias del VISTA..., por algo no le damos soporte en este foro !



Este Tema se ha atendido para solucionar el Tema vírico, pero llegado ya a estar limpio y presentar problemas de sistema, debemos remitirte al soporte de Microsoft, support@microsoft.com , quienes podrán indicarte los pasos a seguir sin perder la información, que es lo primordial.



Dejamos el Tema abierto para que nos informes de tus progresos siguiendo sus indicaciones, pues aun que sea VISTA, puede ser del interés para el histórico del foro.



saludos



ms, 23-1-2010