nuevo virus bill108 necesito ayuda (SOLUCIONADO)

[where]

Hola he recorrido a este foro como ultimo recurso desde hace unos dias el ordenador me hace cosas raras como desactivarme windows update o intaller aparte de otros pogramas...tampoco me deja copiar y pegar guardar datos en un pendriver y otras cosas no funcionan bien como minimizar ventanas, etc....tampoco me deja menterme en segun que paginas que esten relacionadas con virus y menos aun descargarme un antivirus.

todo esto me pasa en fin tampoco puedo pasar un antivirus a traves de un pendrive ni un CD ya que no me deja pegar y copiar. Creo que es el virus bill108.exe y segun creo es un virus nuevo.



en conclusion hay posibilidades de quitar este virus bill108.exe?

o solo me queda formatear?



espero que me podais echar una mano sobre este virus ya que necesito los datos del ordenador, un saludo.

:(

[lucl]

Hola, mira tienes una forma bastante rapida de solucionarlo, envianos el archivo bill10.exe pero antes añadele extensión .vir de tal forma que quedaria así

bill108.exe.vir

lo empaquetas con winrar y pones de contraseña la palabra virus. Te lo analizamos y te damos la herramienta para su eliminación. Pero antes de todo esto pasa elistara en tu pc y peganos el log que te dejara en C llamado infosat.txt te dejo link de descarga



http://www.zonavirus.com/descargas/descargar-elistara.asp



saludos

[msc hotline sat]

Debe tratarse de alguna variante del Koobface. Si el ELISTARA no lo detecta ni pide muestras, ademas de postearnos el contenido de c:\infosat.txt, descarga el SPROCES y nos envias el contenido del informe resultante c:\sproclog.txt (Si pide envio de muestras, hacerlo, claro)




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 7-7-2011

RSPBAD

[where]

Hola tengo un problema para enviaros el archivo primero que no me deja enviar nada del pc y dos borre el archivo bill108.exe no se que tengo que hacer ahora le pase un scaner y me detecto los virus que postee anteriormente que tendria que hacer?

[msc hotline sat]

Pues como muy bien te decía lucl, primero lanza el ELISTARA y veamos lo que dice el infosat.txt, el cual conviene que nos postees con un copiar y pegar, como respuesta a este Tema.



En función de ello, obraremos en consecuencia



saludos



ms, 7-7-2011

[where]

Hola le pase elistara como me comentasteis y aqui hos dejo el log espero que me informeis saludos.



(7-7-2011 12:53:59 (GMT))

EliStartPage v23.58 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2011)

--------------------------------------------------

Usuario: Sonia

ID de Usuario: S-1-5-21-1454471165-1580818891-682003330-1003



Lista de Acciones (por Acción Directa):

Key Eliminada [URLSearchHook (HKUS) "{346de098-61f9-4b42-89da-6dfba7091bb6}"] -> C:\ARCHIVOS DE PROGRAMA\IMBOOSTER4WEB-EN\TBIMB0.DLL

C:\ARCHIVOS DE PROGRAMA\IMBOOSTER4WEB-EN\TBIMB0.DLL --> Eliminado TBConduit(tb)

Eliminada Class, "{346de098-61f9-4b42-89da-6dfba7091bb6}" -> C:\Archivos de programa\IMBooster4web-en\tbIMB0.dll

Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(7-7-2011 13:03:32 (GMT))

EliStartPage v23.58 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2011)

--------------------------------------------------

Usuario: Sonia

ID de Usuario: S-1-5-21-1454471165-1580818891-682003330-1003



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\IMBooster4web-en\TBIMB1.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\IMBooster4web-en\TBIMBO.DLL --> Eliminado, TBConduit(tb)



Nº Total de Directorios: 6416

Nº Total de Ficheros: 59121

Nº de Ficheros Analizados: 21628

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(7-7-2011 13:12:52 (GMT))

EliStartPage v23.58 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Julio del 2011)

--------------------------------------------------

Usuario: Sonia

ID de Usuario: S-1-5-21-1454471165-1580818891-682003330-1003



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6416

Nº Total de Ficheros: 59120

Nº de Ficheros Analizados: 21627

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[where]

tambien le pase el sproces el log:

(7-7-2011 13:34:14 GMT)

SProces v5.6 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;

Equipo: PORTATIL-ZYAKNV

Usuario: Sonia

Sesión de Usuario: Sonia



22 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\LOCATOR.EXE

C:\ARCHIVOS DE PROGRAMA\NETGATE\SPY EMERGENCY\SPYEMERGENCYSRV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ULEAD SYSTEMS\ULEAD PHOTO EXPLORER 8.0 SE BASIC\MONITOR.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\PROGRAM FILES\ARGO SOFTWARE DESIGN\MAIL SERVER\MAILSERVER.EXE

C:\ARCHIVOS DE PROGRAMA\REVIVERSOFT\REGISTRY REVIVER\REGISTRYREVIVER.EXE

C:\ARCHIVOS DE PROGRAMA\D-LINK AIRPLUS XTREME G\AIRPLUS.EXE

C:\ARCHIVOS DE PROGRAMA\SITECOM\COMMON\RAUI.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\DOCUMENTS AND SETTINGS\SONIA\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = satinfo

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Archivos de programa\SweetIM\Toolbars\Internet Explorer\mgHelper.dll

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O1 - Hosts: 127.0.0.1 82.165.237.14

O1 - Hosts: 127.0.0.1 82.165.250.33

O1 - Hosts: 127.0.0.1 akamai.avg.com

O1 - Hosts: 127.0.0.1 antivir.es

O1 - Hosts: 127.0.0.1 anti-virus.by

O1 - Hosts: 127.0.0.1 avast.com

O1 - Hosts: 127.0.0.1 avg.com

O1 - Hosts: 127.0.0.1 avp.com

O1 - Hosts: 127.0.0.1 avp.ru

O1 - Hosts: 127.0.0.1 avp.ru/download/

O1 - Hosts: 127.0.0.1 avpg.crsi.symantec.com

O1 - Hosts: 127.0.0.1 backup.avg.cz

O1 - Hosts: 127.0.0.1 bancoguayaquil.com

O1 - Hosts: 127.0.0.1 bcpzonasegura.viabcp.com

O1 - Hosts: 127.0.0.1 bitdefender.com

O1 - Hosts: 127.0.0.1 clamav.net

O1 - Hosts: 127.0.0.1 comodo.com

O1 - Hosts: 127.0.0.1 customer.symantec.com

O1 - Hosts: 127.0.0.1 dispatch.mcafee.com

O1 - Hosts: 127.0.0.1 download.mcafee.com

...

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: SweetIM Toolbar Helper - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Archivos de programa\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Archivos de programa\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [SpeedUpMyPC] "C:\Archivos de programa\Uniblue\SpeedUpMyPC\launcher.exe" delay 20000

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ArGoSoftMailServer] C:\Program Files\ArGo Software Design\Mail Server\mailserver.exe

O4 - HKCU\..\Run: [Registry Reviver] C:\Archivos de programa\Reviversoft\Registry Reviver\RegistryReviver.exe

O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - Global Startup: ACS.lnk = C:\WINDOWS\system32\ACS.BAT

O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = C:\Archivos de programa\D-Link AirPlus Xtreme G\AirPlus.exe

O4 - Global Startup: D-Link REG Utility.lnk = C:\Archivos de programa\D-Link AirPlus Xtreme G\Reg.exe

O4 - Global Startup: Sitecom Wireless Utility.lnk = C:\Archivos de programa\Sitecom\Common\RaUI.exe -s

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\NWPROVAU.DLL

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~2\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~2\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\ar5211.sys (de 407360 bytes) () D-Link

WinSys\Drivers\ar52119x.sys (de 407392 bytes) () D-Link

WinSys\Drivers\ati2mtag.sys (de 701440 bytes) () ATI Technologies Inc.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\hsfcxts2.sys (de 685056 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation

WinSys\Drivers\mtxparhm.sys (de 452736 bytes) () Matrox Graphics Inc.

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\slntamr.sys (de 404990 bytes) () Smart Link

WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe

O23 - Service: AEGIS Protocol (IEEE 802.1x) v3.5.3.0 (AegisP) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\AegisP.sys

O23 - Service: DCS Loader (DCSLoader) - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE

O23 - Service: WebCheck Microsoft Changer WiaProtocol DesktopContext Folder (dpti3o) - Unknown owner - C:\WINDOWS\system32\svchost.exe -k termsv - C:\WINDOWS\system32\imm32oko.dll (file missing)

O23 - Service: VMware Monitor CD ACPI Terminal List (FltOkoMgr) - Panda Software - C:\WINDOWS\system32\svchost.exe -k meetsvc - C:\WINDOWS\system32\btw_oko.dll

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Properties PPTP Driver Help Logon Search (ipokoraid) - Guillemot Corporation - C:\WINDOWS\system32\svchost.exe -k rpcSsc - C:\WINDOWS\system32\certoko.dll

O23 - Service: AEGIS Protocol (IEEE 802.1x) v2.3.1.9 (MDC8021X) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\mdc8021x.sys

O23 - Service: Spy Emergency Engine Service (SpyEmrgSrv) - NETGATE Technologies s.r.o. - C:\Archivos de programa\NETGATE\Spy Emergency\SpyEmergencySrv.exe

O23 - Service: TuneUp Ampliación del thema (UxTuneUp) - TuneUp Software GmbH - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\uxtuneup.dll



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: D-Link Adapter (AR5211) - D-Link - C:\WINDOWS\SYSTEM32\DRIVERS\ar5211.sys

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador de adaptador Fast Ethernet NETGEAR FA330/FA312/FA311 (FA312) - NETGEAR Corp. - C:\WINDOWS\SYSTEM32\DRIVERS\FA312nd5.sys

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Huawei DataCard USB Modem and USB Serial (hwdatacard) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbmdm.sys (file missing)

O23 - Service: Huawei DataCard USB Fake (hwusbfake) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ewusbfake.sys (file missing)

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Spy Emergency OnAccess Driver (SpyEmrgAccess) - NETGATE Technologies s.r.o. - C:\WINDOWS\SYSTEM32\Drivers\spyemrg_access.sys

O23 - Service: Spy Emergency Real-Time Shield Driver (SpyEmrgGuard) - NETGATE Technologies s.r.o. - C:\WINDOWS\SYSTEM32\Drivers\spyemrg_guard.sys

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: upperdev - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys (file missing)

O23 - Service: VIA AC'97 Audio Controller (WDM) (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\viaudios.sys

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.17\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.5.8\bin\mysqld.exe



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



29 Servicios.

10 de Carga Automatica.

18 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues vemos que aun usa el IE 6... conviene actualizarlo a IE8 !



Y pruebe de arrancar en MODO SEGURO CON FUNCIONES DE RED, pulsando repetidamente F8 al arrancar y escogiendo dicha opcion, y espero que asi podrá nevagar y enviarnos el fichero de marras para poder analizarlo e implementar, en la siguiente version del ELISTARA, el control y eliminación de dicho malware.



saludos



ms, 7-7-2011

[where]

En primer lugar gracias por seguir colaborando en mi problema, pero no se como actualizar el iexplorer ya que el windows update esta desactivado no se como tendria que hacerlo perdonar mi ignorancia un saludo

[lucl]

Ve a Inicio.......todos los programas ......windows update y sigue los pasos que te van indicando. Saludos

[where]

Hola lucl pero mi problema es que el windows update el virus me lo desactivo no me funciona ....y creo que no me deja activarlo o almenos lo que probe.

que hago?

[msc hotline sat]

Pues si ya puedes arrancar en MODO SEGURO, lanza en dicha forma el antivirus que dices que todavía te detecta algunos, y eliminalos.



Luego reinicia normalmente y si persiste algunba anomalía, vuelve a lanzar el SPROCES y posteanos el nuevo informe, a ver que es lo que queda.



saludos



ms, 8-7-2011

[where]

bueno sigo teniendo poblemas ya que el scaner que me localizo los virus no me deja eliminarlos ya que tengo que pagar y aparte aunque pagara no creo que me dejara descargarlo porque ese es mi problema que el virus no deja descargarme los antivirus, y el antivirus que me detecto dos virus y me los elimino no me encuentra mas virus y en modo seguro no me funciona. Realmente no se que posibilidades tengo ya que me descuide con el pc y no lo tube al dia.

que puedo hacer realmente?

sera mejor formatearlo?

gracias por ayudarme con mi poblema saludos

[msc hotline sat]

Pues vemos varias entradas sospechosas:



este lo lanza la última clave, y esta en uso:





C:\Documents and Settings\MANUEL\Datos de programa\EoRezo\EoRezo\SoftwareUpdateHP.exe





y estas claves son sospechosas, mira si son voluntarias, sino envianos los ficheros que lanza, para analizar





R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=grupo&s={searchTerms}&f=4





O2 - BHO: EOBHO - {C10DC1F4-CCDF-4224-A24D-B23AFC3573C8} - C:\Archivos de programa\EoRezo\EoRezoBHO.dll



O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\MANUEL\Datos de programa\EoRezo\EoRezo\SoftwareUpdateHP.exe





Sobre que no le funcionan determinadas utilidades, pruebelas en modo seguro, o con el antivirus desactivado !!!





y a formatearlo siempre está a tiempo..., pero intentaremos que no le haga falta, pues siempre se pierden drivers y aplicaciones que luego se echan en falta ...





saludos



ms, 8-7-2011

[where]

Hola tengo estas dudas una es como compruebo si son claves voluntarias y de lo contrario como tendria que hacer para enviaros los archivos...perdona mi ignorancia pero es la primera vez que me paso esto.

Saludos.

[msc hotline sat]

Sí claro, lo de las claves voluntarias es si conoces las aplicaciones en cuestion, pero si dudas de ello, envianos los ficheros y punto:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 8-7-2011

[where]

Hola de nuevo bueno estuve mirando de localizar esos archivos que me dijisteis pero no existen no se si hos entendi mal pero por ejemplo este archivo no existe:

c:\Document and setting/MANUEL/datos de pogramas/EoRezo/EoRezo/sofwareUpdateHP.exe

No hay ninguna carpeta que se llame MANUEL no entiendo a que hos referias los otros archivos que me dijisteis tampoco estan que raro no se si entendi mal no se esperare nuevas instruciones y de verdad perdanar mi ignorancia y agradeceros vuestros intentos.

Saludos

[msc hotline sat]

Np, la respuesta no era para tí. (Era para https://foros.zonavirus.com/viewtopic.php?f=13&t=36670&p=183782&hilit=Sobre+que+no+le+funcionan+determinadas+utilidades#p183782 y se coló en tu Tema) :oops: Sorry !



En tu log vemos estas entradas del HOSTS maliciosas:



O1 - Hosts: 127.0.0.1 82.165.237.14



O1 - Hosts: 127.0.0.1 82.165.250.33



O1 - Hosts: 127.0.0.1 akamai.avg.com



O1 - Hosts: 127.0.0.1 antivir.es



O1 - Hosts: 127.0.0.1 anti-virus.by



O1 - Hosts: 127.0.0.1 avast.com



O1 - Hosts: 127.0.0.1 avg.com



O1 - Hosts: 127.0.0.1 avp.com



O1 - Hosts: 127.0.0.1 avp.ru



O1 - Hosts: 127.0.0.1 avp.ru/download/



O1 - Hosts: 127.0.0.1 avpg.crsi.symantec.com



O1 - Hosts: 127.0.0.1 backup.avg.cz



O1 - Hosts: 127.0.0.1 bancoguayaquil.com



O1 - Hosts: 127.0.0.1 bcpzonasegura.viabcp.com



O1 - Hosts: 127.0.0.1 bitdefender.com



O1 - Hosts: 127.0.0.1 clamav.net



O1 - Hosts: 127.0.0.1 comodo.com



O1 - Hosts: 127.0.0.1 customer.symantec.com



O1 - Hosts: 127.0.0.1 dispatch.mcafee.com



O1 - Hosts: 127.0.0.1 download.mcafee.com





Con el ELISTARA debe detectar un HOSTS incorecto y proponer restaurar por los valores básicos, acepta restaurarlo.





Y revisando el log del ELISTARA vemos que asi lo hizo:





Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.



Así que si tras ello persistian los valores, señlal que se resistió a dicha restauracion...



Por ello debes proceder de otra forma, ir a C:\windows\system32\drivers\etc\ pulsa sobre el fichero HOSTS (sin extension) y manteniendolo pulsado, arrastralo al ESCRITORIO.



Luego vuelve a lanzar el ELISTARA y si te dice que no enciuentra el HOSTS, perfecto, que lo cree.



Tras ello reinicia y dinos si ya no pesiste la anomalia y puedes ir a las webs de antivirus, que ahora son redirigidas al LOCAL HOST (debido a la modificacion del HOSTS)



saludos



ms, 8-7-2011

[where]

Hola bueno realmente no me deja arrastrar el archivo al escritorio, le creo un aceso directo? o que hago? espero instruciones un saludo.

[msc hotline sat]

No, debes hacerlo arrastrandolo, manteniendo el botón del mouse apretado sobre su icono mientras lo haces.



Si no lo puedes hacer en modo normal, pruebalo en MODO SEGURO



saludos



ms, 9-7-2011

[where]

Hola no me deja arrastrarlo ya lo probe tambien en modo seguro, que hago?

Saludos.

[msc hotline sat]

Mira de editarlo, con el BLOC DE NOTAS, y escribe una linea que diga :





127.0.0.1        LOCALHOST





y lo demás lo eliminas



Tras salvarlo, mira si efectivamente se mantiene asi, editandolo de nuevo



saludos



ms, 9-7-2011

[where]

bien ahora lo edite dejando solo la linea que me dijisteis y se mantiene, ahora que hago le paso el elistarA en modo seguro de red?

[msc hotline sat]

Comprueba que tras reiniciar se mantenga con solo dicha línea, y si es asi, dinos si persiste alguna anomalia, sin ninguna otra prueba, gracias



saludos



ms, 9-7-2011

[msc hotline sat]

Bueno, me he de ir, cuentame tus progresos al respecto y los veré a la vuelta.



saludos



ms, 9-7-2011

[where]

Hola tengo malas noticias al reiniciar el pc hosts volvio a quedar como estaba antes....y ademas ahora no me deja guardar como me dejo la primera vez cuando borro las demas lineas, pero me he dado cuenta que si que me deja añadir algun caracter al archivo y si me deja guardar y si reinicio sigue igual osea con el caracter que le pongo.

Mas que nada te lo comento por si hay alguna posibilidad de anular las lineas con algun caracter? a la espera de nuevas instruciones.

Un saludo y gracias.

[msc hotline sat]

Me lo temía...



Posiblemente tienes un Rootkit que oculta el malware que lo provoca, ya que no lo vemos en los logs, por lo que habremos de buscarlo por otros medios:



descarga el MCAFEE ROOTKIT DETECTIVE y tras lanzarlo, nos posteas el informe resultante:







Y por si no estuviera en ficheros sino en sectores físicos, aranca con el CD de instalacion de windows, pulsa R para acceder a la Consola de Recuperacion, y desde allí lanza FIXMBR <enter> . Con ello se sobreescrobe dicho sector, y si allí se oculta un malware, se elimina.



Luego mira hacer lo que ya sabes con el HOSTS, prueba de arrasatrarlo al escritorio, y sino puedes, editalo y deja solo el [b][i]127.0.0.1 LOCALHOST[/i][/b]



Y si al final del informe del Rootkit Detective, indica que hay ficheros corriendo en procesos ocultos, iremos tras ellos !



saludos



ms, 9-7-2011

[msc hotline sat]

Y como sea que estos tres no son conocidos como malwares, pero ya que has tenido KOOBFACE, podrian estar relacionados, añadeles .VIR a su extension y envianoslos para analizar, como ya sabes:





C:\WINDOWS\system32\btw_oko.dll







C:\WINDOWS\system32\certoko.dll







y este que puede tener atributo de oculto o de sistema, configura tu windows para verlos:



C:\WINDOWS\system32\imm32oko.dll (file missing)







Si no encontraras alguno de ellos, prueba con el ELIMOVER:





[i][b]ELIMOVER[/b][/i]

http://www.zonavirus.com/descargas/descargar-elimover.asp





y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se trata de un malware



por ejemplo, entrando a buscar éste, con un copiar y pegar:      [b]C:\WINDOWS\system32\imm32oko.dll[/b]



saludos



ms, 9-7-2011

[where]

Hola bueno en principio le pase el mcafee este es el log:



McAfee(R) Rootkit Detective 1.0 scan report

On 09-07-2011 at 19:58:51

OS-Version 5.1.2600

Service Pack 3.0

====================================



Object-Type: Process

Object-Name: locator.exe

Pid: 1332

Object-Path: C:\WINDOWS\system32\locator.exe

Status: Visible



Object-Type: Process

Object-Name: System Idle Process

Pid: 0

Object-Path:

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1240

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 1056

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 964

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible



Object-Type: Process

Object-Name: Rootkit_Detecti

Pid: 1120

Object-Path: C:\Documents and Settings\Sonia\Escritorio\McafeeRootkitDetective\Rootkit_Detective.exe

Status: Visible



Object-Type: Process

Object-Name: svchost.exe

Pid: 996

Object-Path: C:\WINDOWS\system32\svchost.exe

Status: Visible





y sobre el cd de arranque de windows no lo tengo.

[msc hotline sat]

No aparece la leyenda final, pero en los que detalla no vemos nada oculto.



Y ya que no puedes hacer de momento del FIXMBR, añade .VIR a los ficheros que te indicaba al final de mi anterior post, pues tengo una premonición con ellos, y es que al no existir ya el fichero de marras BILL108.EXE porque lo eliminaste segun dices, puede que no se vea la madre, pero queden los hijos de... la madre.



A ver si aparcando estos (al añadirles .VIR a su extension, quedan inactivos al partir del siguiente reinicio), y si acertamos con ellos, se normalice la situación.



A veces, matar un virus a medias, sin eliminar los restos, es peor...



saludos



ms, 9-7-2011