tengo un virus que me tiene loco

serlop73 · Mensaje por **serlop73** » 19 May 2007, 14:59

cada segundo me ocupa toda la memoria y para ecribir este mensaje me cuesta la misma vida ya porfavor ayudenme
Logfile of HijackThis v1.99.1
Scan saved at 13:45:34, on 19/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
Running processes:
C:\Archivos de programa\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe
C:\apps\ABoard\AOSD.exe
C:\Archivos de programa\Adobe\Photoshop Elements 4.0\apdproxy.exe
C:\Archivos de programa\Saitek\Software\SaiSmart.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Archivos de programa\Logitech\Video\LogiTray.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\DS Clock\dsclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\ARCHIV~1\MI3AA1~1\rapimgr.exe
C:\APPS\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Archivos de programa\Logitech\Video\FxSvr2.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\hl1drrr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [SaiSmart] C:\Archivos de programa\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [SaiSmart] C:\Archivos de programa\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [DS Clock] "C:\Archivos de programa\DS Clock\dsclock.exe"
O4 - HKCU\..\Run: [ctfmon.exe]
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Archivos de programa\Netscape\Netscape\Netscp.exe" -aim
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\APPS\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll 
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! Chat 1.3 - http://cs5.chat.sc5.yahoo.com/c174/chat.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://cs6.chat.yahoo.com/v43/yacscom.cab
O16 - DPF: {B9E84C7E-1B91-4096-9EC9-083E872A74C3} (PhotosCtrlES Class) - http://es.f1.pg.photos.yahoo.com/ocx/es/yexplorer1_9es.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Toolbar) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_6_0_0.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Archivos de programa\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! Chat 1.3 - http://cs5.chat.sc5.yahoo.com/c174/chat.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://cs6.chat.yahoo.com/v43/yacscom.cab
O16 - DPF: {B9E84C7E-1B91-4096-9EC9-083E872A74C3} (PhotosCtrlES Class) - http://es.f1.pg.photos.yahoo.com/ocx/es/yexplorer1_9es.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Toolbar) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_6_0_0.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Archivos de programa\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! Chat 1.3 - http://cs5.chat.sc5.yahoo.com/c174/chat.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://cs6.chat.yahoo.com/v43/yacscom.cab
O16 - DPF: {B9E84C7E-1B91-4096-9EC9-083E872A74C3} (PhotosCtrlES Class) - http://es.f1.pg.photos.yahoo.com/ocx/es/yexplorer1_9es.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Toolbar) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_6_0_0.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Archivos de programa\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SymWMI Service (SymWSC) - LSI Logic - (no file)
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Archivos de programa\Virtual CD v4 SDK\system\vcssecs.exe

gracias

Mensaje por **lucl** » 19 May 2007, 22:20

pasate estos dos programas a ver si te encuentran algo, saludos

http://www.zonavirus.com/articulos/como ... fallos.asp

http://www.zonavirus.com/descargas/elistara.asp
http://www.zonavirus.com/descargas/elitriip.asp

Mensaje por **msc hotline sat** » 19 May 2007, 22:33

lucl, te olvidas del ELIBAGLA !
PARECE QUE ESTE FICHERO ES ALGO DE ELLO:
C:\WINDOWS\system32\hl1drrr.exe
pruebalo y nos indicas el resultado, gracias:

ELIBAGLA: http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 19-05-2007

serlop73 · Mensaje por **serlop73** » 20 May 2007, 17:43

estoy escribiendo desde un portatil, por que segui la recomendaciones de entrar en modo seguro en windows y como no podia, hay un configuracion que se recomendaba si el ordenador no entraba en modo seguro. ¿Cual es ahora el problema? que cuando se conecta el ordenador y empieza a arrancar me sale las preguntas Modo Seguro, modo seguro en red, modo normal, modo como arranco la ultima vez, lo he probado con todas y cuando le doy alguna de ellas parece que va a arrancar windows, ¿pero que ocurre? pues que reinicia el ordenador, entonces no puedo llegar a windows por ningun sitio, no puedo solucionar nada, si me podeis ayudar.

Mensaje por **msc hotline sat** » 20 May 2007, 18:32

No podrás arrancar en modo seguro porque el Bagle lo impide !!!

Arranca en modo normal y prueba la utilidad indicada

saludos
ms, 20-05-2007

serlop73 · Mensaje por **serlop73** » 20 May 2007, 19:35

ya, pero como no podia arrancar en modo seguro hice lo que me aconsejaban, y lo configure para que me arrancase y ya ni me arranca en seguro ni en normal ni en nada se reinicia siempre el ordenador. no puedo entrar en windows, a ver si hay alguna forma, gracias

Mensaje por **msc hotline sat** » 20 May 2007, 20:31

A ver, el Bagle modifica una clave de registro que impide arracar en modo seguro, pero arranca como lo has hecho para lanzar el HJT y prueba el ELIBAGLA, que restaurará dicha clave y eliminará el virus.

Manualmente te diria que se podría renombrar a .VIR la extension del C:\WINDOWS\system32\hl1drrr.exe y tras reiniciar ya no se cargaría en memoria, tras lo cual se podrá corregir la clave y demás, pero todos los casos que hemos tenidos de Bagle (cientos) los hemos solucionado con el ELIBAGLA, o a base de analizar las muestras que dicha utilizad pide que se nos envie, las cuales pasamos a controlar con nuevas versiones.

saludos
ms, 20-05-2007

serlop73 · Mensaje por **serlop73** » 20 May 2007, 20:47

pero si te entiendo perfectamente, el problema esta en que no puedo acceder a windows ni por seguro, ni por normal ya que hice esto:
ANEXO AL POST ANTERIOR, PARA CUANDO NO SE CONSIGUE CON ELLO ARRANCAR EN MODO SEGURO

En los casos rebeldes, puede procederse a provocar el arranque en modo seguro a través de software, configurando debidamente los ficheros de inicio, a saber:

Windows XP
Cierre todos los programas.
Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. Aparecerá la "Utilidad de configuración del sistema".
Pulse en la lengüeta "BOOT.INI".
En "Opciones de inicio", marque la casilla "/SAFEBOOT"

-Si se quiere ademas hacerlo con acceso a Unidades de Red, hay otra casilla mas pequeña al lado <Red> que se debe marcar-

Pulse en el botón [ Aceptar ], y en el mensaje siguiente confirme reiniciar el ordenador.

Una vez terminado el proceso que se quería realizar arrancando en modo seguro, para volver a la normalidad el sistema, repita los pasos 1 a 4, pero en ese punto, desmarque la casilla "/SAFEBOOT". Luego confirme los cambios, y reinicie su computadora.
al hacer esto no me deja arrancar en modo normal se reinicia otravez el ordenador y me vuelve a lo de siempre

Mensaje por **msc hotline sat** » 20 May 2007, 20:49

Por favor, teniendo el BAGLE olvidate de arrancar en modo seguro, no estas en condiciones normales.

Si pudiste lanzar el HJT para postear el log, prueba de la misma manera el ELIBAGLA !!!

ms.

serlop73 · Mensaje por **serlop73** » 20 May 2007, 20:58

creo que no me estas entendiendo, estoy escribiendo en el foro desde otro ordenador por que el mio no arranca ni en modo seguro ni en normal,cada vez que le doy a modo normal me vuelve a resetear automaticamente el ordenador lo que tu me pusiste:

~~[b]~~ver, el Bagle modifica una clave de registro que impide arracar en modo seguro, pero arranca como lo has hecho para lanzar el HJT y prueba el ELIBAGLA, que restaurará dicha clave y eliminará el virus[/b] no lo puedo hacer porque me resetea el ordenador una y otra vez por que en el foro me dijeron que te lo puse en el otro post una forma de arrancar seguro para cuando cueste, y desde entonces no me deja arrancar de ninguna de las formas

Mensaje por **msc hotline sat** » 20 May 2007, 21:06

El Bagle es de los pocos virus que impiden arrancar en modo seguro.

Y aunque estes posteando desde otro ordenador, bien lanzaste el HJT desde el infectado, verdad? pues hazlo igual y lanza el ELIBAGLA

No es que no te quiera entender... es solo que como este hemos tenido cientos de casos y lo que nos cuentas ya lo sabemos, entiendenos tu a nosotros !

Y si tuvieras problemas de corrupcion de sistema, REPARA el windows, no eliminará el virus, pero si tienes mal los ficheros de arranque y no puedes arrancar, asi podrás:

"y cuando se proponga REPARAR:

Código: Seleccionar todo

Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

saludos"
ms, 20-05-2007[/quote]

serlop73 · Mensaje por **serlop73** » 20 May 2007, 21:27

Y~~[b]~~ aunque estes posteando desde otro ordenador, bien lanzaste el HJT desde el infectado, verdad? pues hazlo igual y lanza el ELIBAGLA [/b]si lo pude lanzar, pero eso fue anterior a hacer lo que decia en el foro para arrancar en modo seguro, intentare reparar windows como me sugieres y a ver que pasa, ya te cuento, ah muchisimas gracias.

Mensaje por **msc hotline sat** » 20 May 2007, 21:35

Sí, claro, al no saber que el BAGLE impedia arrancar en modo seguro, forzaste por software que arranqcara siempre en dicha manera, y ahora estás en un callejon sin salida: Por una parte exiges arrancar en modo seguro y por otra parte tienes el BAGLE que ha modificado una clave que lo impide...

El problema no es de corrupcion de ficheros, sino de las circunstancias que te han llevado a un circulo vicioso.

La verdad es que para este BAGLE no decinmos que se arranque en modo seguro, porque ya sabemos que no se puede, a diferencia de todos los otros virus. Es un caso especial que tenemos superado arrancando en modo normal y lanzando el ELIBAGLA, pero si has cambiado el arranque por software... Sí, veo una posible solucion arrancando en consola de recuperacioun y deshaciendo lo hecho. Prepara el disco de instalacion que arrancaras con él, pero en lugar de ir a instalar, pulsaras R para entrar en consola de recuperacion, cpon lo que podremos acceder a los ficheros que has modificado y deshacer lo hecho.

Un poco laborioso pero creo ver el camino.

Mientras lo preparas lo compongo

saludos

ms, 20-05-2007

Mensaje por **msc hotline sat** » 20 May 2007, 21:56

Supongo que has hecho lo que indicamos normalmente para arrancar en modo seguro en XP:

Windows XP
Cierre todos los programas.
Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. Aparecerá la "Utilidad de configuración del sistema".
Pulse en la lengüeta "BOOT.INI".
En "Opciones de inicio", marque la casilla "/SAFEBOOT"

-Si se quiere ademas hacerlo con acceso a Unidades de Red, hay otra casilla mas pequeña al lado <Red> que se debe marcar-

Pulse en el botón [ Aceptar ], y en el mensaje siguiente confirme reiniciar el ordenador.

Una vez terminado el proceso que se quería realizar arrancando en modo seguro, para volver a la normalidad el sistema, repita los pasos 1 a 4, pero en ese punto, desmarque la casilla "/SAFEBOOT". Luego confirme los cambios, y reinicie su computadora.

Para deshacer lo hecho en el BOOT.INI debes acceder a la carpeta de sistema y quitar los atributos de sistema y de oculto a dicho fichero con el ATTRIB.EXE, para lo que iras al disco C: luego a la carpeta en cuestion y desde alli ejecutarsás el ATTRIB quitandole los atributos indicados:

C: <ENTER>
CD WINDOWS <ENTER>
CD SYSTEM32 <ENTER>
ATTRIB C:\BOOT.INI -H -S <ENTER>

Así podrás copiar encima el BOOT.INI de la otra maquina que arranca normal, escribiendo:

COPY X:\BOOT.INI C:\ <ENTER>

ENTENDIENDO POR x: LA UNIDAD DONDE TIENES EL SOPORTE (DISQUETE O LO QUE SEA) EN EL QUE HAYAS GRABADO EL BOOT.INI DE LA MAQUINA QUE ARRANCA

para copiar dicho fichero al disquete posiblemente hayas tenido que quitarle tambien los atributos indicados...

Y por último, cuando ya LO HAYAS COPIADO AL DISCO DURO y este haya arrancado normalmente, vuelves a poner los atributos de H y S al fichero, con ATTRIB c:\BOOT.INI +H +S

Miratelo con calma y preguntame lo que no entiendas.

Desde luego es un poco liado, pero es que te has metido en sentido contrario en una autopista llena de trafico ...y salvese quien pueda o sepa !

Lo has querido hacer tan bien, que en este caso te ha salido el tiro por la culata !

En caso de duda, preguntarnos !

saludos

ms, 20-05-2007

serlop73 · Mensaje por **serlop73** » 20 May 2007, 22:36

y tambien que lo he querido hacer, que no salgo de la rotonda, bueno voy a iniciar tus consejos y a ver que pasa, ya os contare, muchas gracias a todos por qayudarme.

serlop73 · Mensaje por **serlop73** » 21 May 2007, 19:01

la verdad que un poco lioso es, vamos a ver, si estoy haciendo bien algo, me he metido en consola de recuperacion de windows en el ordenador infectado, y he podido tener acceso al disco duro mediante ms dos he llegado hasta windows\system32 pero cuando le meto lo siguiente que me dices me dice que el parametro no es valido, y despues que tengo que copiar en un diskette en el ordenador que estoy utilizando ahora para despues introducirlo en el infectdo?

o no es así.

Mensaje por **msc hotline sat** » 21 May 2007, 19:09

Veras, se supone que en la carpeta de sistema (C:\windows\system32) tienes el ATTRIB.EXE, sino convendrá copiarlo a un disquete desde otra maquina y ejecutarlo desde A:, entonces colocando en A: el disquete donde lo tengas, debes poner delante del comando ATTRIB (pero pegado) A:\

quedando A:\ATTRIB C:\BOOT.INI -H -S <ENTER>
y así seguir.

En definitiva es para poder quitar los atributos de oculto y sistema a dicho fichero, porque sino no podrás sobreescribirlo

A ver si hay suerte !

saludos
ms, 21-05-2007