Bloodhound.beagle como eliminar?? (Solucionado con EliBagla)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
stipo
Mensajes: 3
Registrado: 05 Ene 2007, 19:07

Bloodhound.beagle como eliminar?? (Solucionado con EliBagla)

Mensaje por stipo » 05 Ene 2007, 19:18

Hola a todos, a ver si me podeis echar una mano. (Nuevo y ya viene pidiendo xD)



Pasandole a mi PC un antivirus online me daba que tengo el trojan Bloodhound.beagle y me decía los archivos que me habia instalado, los cuales he borrado a mano.



Mirando en una web sobre este trojan, he visto algunas entradas en el registro para iniciarse cada vez que arranco el PC, tambien las he borrado y el problema persiste.



Tambien he pasado el ad-aware, elistara y hijackthis.



He intentado reiniciar en modo seguro y no se que le pasa a mi ordenador que no puedo hacerlo.



Os pego aki el log del hijackthis:


[code]Logfile of HijackThis v1.99.1
Scan saved at 18:18:47, on 05/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Archivos de programa\Office keyboard utility\1.1\nhksrv.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\ARCHIV~1\MICROS~2\wcescomm.exe
D:\ARCHIV~1\MICROS~2\rapimgr.exe
D:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\Documents and Settings\Antonio\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\ARCHIV~1\MICROS~2\wcescomm.exe"
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE70FC78-BDD0-4743-B413-EA3AFE50599E}: NameServer = 62.14.2.1,62.14.2.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6BE79A0-8A85-4C07-B0CE-B9531F902876}: NameServer = 62.14.2.1,62.14.2.145
O21 - SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - D:\Archivos de programa\Stardock\Object Desktop\IconPackager\iprepair.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - D:\Archivos de programa\Office keyboard utility\1.1\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

[/code]

Un saludo y gracias
Última edición por stipo el 05 Ene 2007, 23:22, editado 1 vez en total.
Arriba
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:
Contactar lucl

Mensaje por lucl » 05 Ene 2007, 22:05

Hola, supongo que este otro metodo para iniciar a prueba de errores lo has probado verdad? te copio lo indicado por msc, es vital que lo consiguieras y pasaras el elistara, elitrip o lo que sea, saludos,



Msc dijo:



ANEXO AL POST ANTERIOR, PARA CUANDO NO SE CONSIGUE CON ELLO ARRANCAR EN MODO SEGURO



En los casos rebeldes, puede procederse a provocar el arranque en modo seguro a través de software, configurando debidamente los ficheros de inicio, a saber:





Windows XP



Cierre todos los programas.



Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. Aparecerá la "Utilidad de configuración del sistema".



Pulse en la lengüeta "BOOT.INI".



En "Opciones de inicio", marque la casilla "/SAFEBOOT"



Pulse en el botón [ Aceptar ], y en el mensaje siguiente confirme reiniciar el ordenador.



Una vez terminado el proceso que se quería realizar arrancando en modo seguro, para volver a la normalidad el sistema, repita los pasos 1 a 4, pero en ese punto, desmarque la casilla "/SAFEBOOT". Luego confirme los cambios, y reinicie su computadora.







Windows 2000



Windows 2000 no incluye por defecto la utilidad de configuración MSCONFIG del sistema, pero en algunos casos puede haber sido instalada por el administrador. Si así fuera, siga las mismas instrucciones vistas para Windows XP



En el caso de que no lo tuviera, puede copiarse el MSCONFIG de un XP y proceder conforme indicado para XP. Ello no está soportado por Microsoft, pero ha funcionado en todos los casos en los que lo hemos utilizado.







Windows 98/Me



Cierre todos los programas.



Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. Aparecerá el "Programa de configuración del sistema".



En la lengüeta "General", pulse en el botón [ Avanzado ].



En Configuración marque la casilla "Activar Menú de inicio"



Confirme los cambios y reinicie el ordenador. Recuerde que debe apagarla físicamente, durante por lo menos 10 segundos.



Al aparecer el Menú de Inicio bajo MS-DOS seleccione "Modo a prueba de fallos" (opcion 3) y pulse Enter.



Una vez terminado el proceso que se quería realizar arrancando en modo A PRUEBA DE FALLOS, para volver a la normalidad el sistema, reitere los pasos 1 a 4, pero en ese punto, desmarque la opción "Activar Menú de inicio". Luego confirme los cambios, y reinicie su computadora.







Deshabilitar la Restauracion de sistema en XP y Me



Aparte de lo indicado, se recuerda que en XP y Me, cuando se trata de eliminar virus, además de arrancar em ,odo seguro o a prueba de fallos, convienet deshabilitar la restauracion de sistema para poder acceder a la carpeta del RESTORE (System Volume Information_RESTORE en XP) en la que existe un backup de los ultimos ficheros procesados, incluidos virus, y que para poder acceder a ellos para eliminarlos, debe deshabilitarse dicha opcion. de lo que se informa en:

http://www.zonavirus.com/datos/articulos/63/Deshabilitar_Restaurar_Sistema_Windows_XP.asp
Arriba
Nuker
Mensajes: 1556
Registrado: 09 Oct 2006, 22:54
Ubicación: Guadalajara, Jalisco

Mensaje por Nuker » 05 Ene 2007, 22:17

Pruebe con ELIBAGLA. Y comentenos el resultado:



ELIBAGLA:



http://www.zonavirus.com/descargas/elibagla.asp



Saludos.
[DJ eXploit]
Arriba
stipo
Mensajes: 3
Registrado: 05 Ene 2007, 19:07

Mensaje por stipo » 05 Ene 2007, 23:22

Gracias a los dos por contestar, parece que ya se ha solucionado.



Lo que he hecho ha sido ejecutar EliBagla, pego el log que ha dejado por si a alguien le sirve de ayuda:


[code] Fri Jan 05 14:50:45 2007
EliStartPage v13.02 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
D:\WINDOWS\NDNUNINSTALL6_38.EXE --> Eliminado NewDotNet Uninst
D:\WINDOWS\NDNUNINSTALL7_22.EXE --> Eliminado NewDotNet Uninst
Eliminada Carpeta "%WinSys%\LogFiles"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Fri Jan 05 21:34:38 2007
EliBagle v10.00 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.00
a "virus@satinfo.es". Gracias.
D:\DOCUMENTS AND SETTINGS\ANTONIO\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.00
a "virus@satinfo.es". Gracias.
D:\DOCUMENTS AND SETTINGS\ANTONIO\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.00
a "virus@satinfo.es". Gracias.
D:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR <----*
Restaurada Clave: "SafeBoot\Minimal y Network"
[/code]

La clave restaurada pone "SafeBoot\Minimal y Network" supongo que por eso no me dejaba arrancar en modo seguro porque ha sido ejecutar EliBagla y poder hacerlo sin ningun problema ni siquiera he tenido que hacer lo que comenta arriba [b]lucl[/b]



El caso es que he podido arrancar en modo seguro y ahi he ejecutado otra vez EliBagla. Esta vez ha borrado el archivo que renombró antes <----*



Asi que ya está solucionado el problema.



Un saludo y muchas gracias por la ayuda ;)
Arriba
Avatar de Usuario
novatillo
Mensajes: 474
Registrado: 01 May 2006, 20:48
Ubicación: valencia

Mensaje por novatillo » 06 Ene 2007, 02:23

Si pero como veras elibagla te pide muestras que debes de enviar.



Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.00

a "virus@satinfo.es". Gracias



Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.00

a "virus@satinfo.es". Gracias



Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.00

a "virus@satinfo.es". Gracias



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Saludos.
El trabajo en equipo es esencial... te permite echarle la culpa a otro.
Arriba
stipo
Mensajes: 3
Registrado: 05 Ene 2007, 19:07

Mensaje por stipo » 06 Ene 2007, 22:51

Las muestras las envié :D



Lo que no sabia era lo de poner en el asunto <REF "nombreusuario"> pero bueno supongo que lo importante es mandar las muestras :oops:



Un saludo
Arriba
Nuker
Mensajes: 1556
Registrado: 09 Oct 2006, 22:54
Ubicación: Guadalajara, Jalisco

Mensaje por Nuker » 06 Ene 2007, 22:53

Tienes que poner tu nombre de usuario en el cuerpo del mensaje en la parte superior de tu preferencia para saber de quien viene la muestra.



ejemplo:









<Nuker>







Les dejo la muestra. Saludos.
[DJ eXploit]
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”