Virus?? o cuento para no dormir.....??? (SOLUCIONADO)

[msc hotline sat]

Nuestras utilidades ya desactivan la restauracion de sistema y luego lo restauran, asi que este no es el problema, lo que vemos muy raro es que te haya desaparecido el ELIBAGLA como dices ???



Veremos si se reciben las muestras y tras analizarlas informaremos



saludos



ms, 7-05-2008

[bobby]

Menos mal. En lo referente al ELIBAGLE, el programa, es decir, el ejecutable que descargué lo sigo teniendo en mi escritorio, pero cuando se producian los autoreinicios siempre al arrancar e iniciar de nuevo la sesión me aparecía una ventana ejecutable para lanzar el ELIBAGLA salvo en el último reinicio que no salió ninguna ventana, simplemente me sale el icono ( de Mcafee) abajo a la derecha de la barra de "Inicio" que me dice que mi equipo no está protegido.

Hoy al encender el pc y ayer por la noche también sigue así , sin aparecer este ejecutable de ELIBAGLA, pero si que podría lanzarlo ya que como he dicho, tengo la aplicación que descargué en mi escritorio. Un saludo

[msc hotline sat]

Sí, el Bagle corrompe los antivirus, asi para cuando hay nuevas versiones que lo conocerían, ya no funciona !



Debes desinstalarlo e instalarlo de nuevo



Y el ELIBAGLA, como todas las utilidades de evaluacion, debes descargarlas cuando las necesites, pues siempre se debe probar la ultima version, asi que una vez ya probada esta, la borras y si necesitas probarla de nuevo, de la descargas en su momento.



saludos



ms, 7-05-2008

[bobby]

Espero que si que os hayan llegado bien las muestras ya que hoy no me habeis comentado nada de lo contrario.

En lo referente al antivirus, ya que tengo la licencia adquirida por un año más, tenía intención de seguir utilizando "Internet Security Suite" de Mcafee; he estado mirando en el ordenador para que una vez acabado con todos los virus e intrusos ( es decir, cuando vosotros me digais), volver a instalarle para lo que como me decis tendría que desinstalarle. El caso es que ya lo desinstale entero el otro día ( o eso creía) yendo al "panel de control-agregar y quitar programas"-etc, pero como os he dicho , me sigue saliendo el icono en la barra de herramientas de "inicio" del Security Suite avisándome de que mi equipo no está protegido y en " agregar y quitar programas" ya no me aparece ningún producto de Mcafee, ¿como puedo desinstalarlo del todo? o simplemente con lo que he hecho ya me valdrá. Gracias por vuestra preocupación por mi "caso" y un saludo.

[lucl]

Es raro que no te hayan comentado ya nada al respecto de los envios, vuelve a repetirlo por si acaso se ha extraviado. Y dejame que te diga que no se si te dijimos que renombraras el archivo que enviaste el tal "xebejh", que le cambies el .exe por el .VIR y asi no se te pondra en marcha en el proximo inicio del pc, seria interesante que lo hicieras y de paso vieras si te sigue saliendo el aviso de que no esta tu pc seguro... saludos

[bobby]

Muchas gracias.



Ahora mismo me pongo con ello, aunque lo del envio lo tengo que dejar para mañana porque en mi pc sólo tengo configurado hotmail y no me deja enviar ese tipo de archivos con contraseña por si fueran virus. Saludos.

[bobby]

Hola de nuevo.

Acabo de reiniciar mi pc, pero no sin antes cambiar la extensión "exe" por la de "VIR" como me decíais, pero me sigue saliendo el mensaje de alerta de Mcafee y lo que también me he dado cuenta que siguiendo el camino de "Herramientas"-"Opciones de carpeta"-"Ver", no me aparece la opción de "Mostrar todos los archivos o carpetas ocultos"; será también esto cosa de todos los bichos que tenía o tengo ? o tendré que formatear finalmente?. Si es que lo que no me pase a mí.....!

[msc hotline sat]

Esto lo hace el Online Games



Prueba el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 8-05-2008

[msc hotline sat]

Y he preguntado si habian entrado muestras para monitorizar con la referencia BOBBY y me han indicado que no, por tanto vuelvelas a enviar pero recuerda empaquetarlas con password VIRUS...:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Sin password, los ficheros infectados pueden ser interceptados y no llegar.



Pero dinos en el foro qué ficheros nos enviabas, pues igual por el nombre de los mismos podemos intuir el virus del que se trata.



saludos



ms, 8-05-2008

[bobby]

Os comento los nuevos acontecimientos:



Tras descargar el ELISTARA, he intentado iniciar la sesión en modo seguro normal, pero no me ha dejado como las anteriores veces, por lo que he supuesto que seguía teniendo algún bagle, así que he descargado la versión más reciente del ELIBAGLA y he hecho lo mismo que la anterior vez: he ejecutado ELIBAGLA y me decía que había detectado y eliminado un bagle y que reiniciara el equipo para completar la eliminación, así que he dado a “explorar” antes de reiniciar y la ventana ha desaparecido sola, así que he pensado que sería mejor reiniciarlo inmediatamente. Una vez reiniciado, ha aparecido la ventana para ejecutar ELIBAGLA y lo he hecho y como otra vez me indicaba lo de reiniciar para completar la limpieza esta vez no he dado a “explorar” y directamente he salido y he reiniciado esta vez en modo a prueba de errores normal ( esta vez si que me ha dejado). Entonces he lanzado de nuevo ELIBAGLA y ¡ madre mia!.... 13 bagles de nuevo…..;como en el informe no ponía reiniciar, he aprovechado entonces para lanzar ELISTARA, pero no ha detectado ningún virus. Sin embargo me decía que os mandara una muestra de C:\Windows\System32\xebejh.exe así que he vuelto a iniciar la sesión de modo normal.

He estado buscando “System32” y no encuentro ninguna carpeta con ese nombre. También he observado que sigo sin tener la posibilidad de ver las carpetas y archivos ocultos de mi sistema, ya que como os dije, no me aparece la opción para elegirla en “Herramientas-Opciones de Carpeta-Ver” aunque el ELISTARA no ha detectado nada. Podría ser que este archivo (C:\Windows\System32\xebejh.exe) sea oculto y por eso no lo detecto?. El caso es que también he observado que tras los análisis con ELISTARA Y ELIBAGLA, lo que tenía en mi carpeta de “muestras” ha desaparecido, al igual que el archivo que encontré en C:\Documents and Settings\ xxxxxx\ xebejh.exe.

Finalmente sigo sin saber que hacer …..así que he decidido lanzar de nuevo ELIBAGLA y esta vez ni me ha mandado reiniciar ni ha localizado ningún bagle (no sé si será buena señal). Después he lanzdo SPROCES y a continuación os posteo los resultados de todo lo narrado anteriormente ( sin los hosts 127.0.0.1).

En lo referente al envio de muestras, ahora como ya os he dicho no tengo ninguna en mi pc, pero como cuando os envié las anteriores lo hize desde el trabajo y con un lapiz de memoria, os las voy a intentar enviar de nuevo (las anteriores) para ver si esta vez llegan. Voy a intentar enviarlas también sin contraseña y ya me direis ( los archivos eran :"C:\Documents and Settings\ xxxxxx\ xebejh.exe" y "HLDRRR.EXE.Muestra Elibagle v.11") :







Thu May 08 13:48:22 2008

EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Thu May 08 13:48:34 2008

EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu May 08 13:49:08 2008

EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Thu May 08 13:49:10 2008

EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NEROCHECK.EXE --> Eliminado Bagle.dldr



Thu May 08 14:08:42 2008

EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Thu May 08 14:12:30 2008

EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr



Thu May 08 14:12:32 2008

EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\xxxxxx\XEBEJH.VIR --> Eliminado Bagle.dldr

C:\Muestras\HLDRRR.EXE.MUESTRA ELIBAGLE V11.32 --> Eliminado Bagle.dldr

C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\drivers\downld\14732953.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\29390968.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\68812.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\76656.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\77031.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\77921.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\80109.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\83234.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\86218.EXE --> Eliminado Bagle



Nº Total de Directorios: 7385

Nº Total de Ficheros: 85741

Nº de Ficheros Analizados: 9565

Nº de Ficheros Infectados: 13

Nº de Ficheros Limpiados: 13



Thu May 08 14:20:28 2008

EliStartPage v16.23 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "MICROSOFT UPDATE MACHINE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\xebejh.exe

a "virus@satinfo.es". Gracias.



Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu May 08 14:21:02 2008

EliStartPage v16.23 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7381

Nº Total de Ficheros: 83718

Nº de Ficheros Analizados: 24811

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu May 08 14:34:04 2008

EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Thu May 08 14:34:09 2008

EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7382

Nº Total de Ficheros: 83724

Nº de Ficheros Analizados: 9548

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







Thu May 08 14:50:46 2008

SProces v3.0 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIV~1\MCAFEE\MSC\MCMSCSVC.EXE

C:\ARCHIV~1\MCAFEE\VIRUSS~1\MCSYSMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\PINNACLE\MEDIASERVER\MICROSOFT SQL SERVER\MSSQL$PINNACLESYS\BINN\SQLSERVR.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\PINNACLE\SHARED FILES\PROGRAMS\MEDIASERVER\PMSHOST.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 7.0\DISTILLR\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_S4I0S2.EXE

C:\WINDOWS\SYSTEM32\XEBEJH.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 6\PCSUITE.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 6\PCSYNC2.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXSTORESVR.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NOKIA\MPAPI\MPAPI3S.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLUSBSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLIRSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLRSSRV.EXE

C:\ARCHIV~1\MCAFEE\MSC\MCUIMGR.EXE

C:\DOCUMENTS AND SETTINGS\XXXXXX\ESCRITORIO\SATINFO---WEB\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,



O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\archivos de programa\mcafee\virusscan\scriptcl.dll

O2 - BHO: enlaces.110mb Toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenl0.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O3 - Toolbar: enlaces.110mb Toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenl0.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: []

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog

O4 - HKCU\..\Run: [Microsoft Update Machine] xebejh.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_9 -reboot 1

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: []

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"

O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\xxxxxx\CONFIG~1\Temp\svchost.exe 1

O4 - HKLM\..\Run: [Microsoft Update Machine] xebejh.exe

O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey

O4 - HKLM\..\RunServices: [Microsoft Update Machine] xebejh.exe

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O4 - Global Startup: Microsoft Office.lnk

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download with YouTube Video Converter - C:\Archivos de programa\Xilisoft\YouTube Video Converter\upod_link.HTM

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5287/mcfscan.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: McAfee Application Installer Cleanup (0216961209929783) (0216961209929783mcinstcleanup) - Unknown owner - C:\DOCUME~1\xxxxxx\CONFIG~1\Temp\021696~1.EXE C:\ARCHIV~1\ARCHIV~1\McAfee\INSTAL~1\cleanup.ini (file missing)

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan\McShield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\archivos de programa\pinnacle\shared files\programs\mediaserver\pmshost.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ASAPIW2K - VOB Computersysteme GmbH - C:\WINDOWS\SYSTEM32\Drivers\ASAPIW2K.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\ARCHIV~1\ARCHIV~1\McAfee\EmProxy\emproxy.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Pinnacle Marvin Bus (MarvinBus) - Pinnacle Systems GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\MarvinBus.sys

O23 - Service: McAfee Inc. (mfeavfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfeavfk.sys

O23 - Service: McAfee Inc. (mfebopk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfebopk.sys

O23 - Service: McAfee Inc. (mfehidk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfehidk.sys

O23 - Service: McAfee Inc. (mferkdk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mferkdk.sys

O23 - Service: McAfee Inc. (mfesmfk) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\mfesmfk.sys

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



35 Servicios.

10 de Carga Automatica.

22 de Carga Manual.

3 Deshabilitados.







Espero que podais ayudarme.

[msc hotline sat]

Claro que el XEBEJH.EXE puede ocultarse con atributos H o S (hidden o system), pero que lo tienes en tu ordenador es seguro, pues está en uso:





C:\WINDOWS\SYSTEM32\XEBEJH.EXE



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





y estas claves que deben eliminarse:



O4 - HKCU\..\Run: [Microsoft Update Machine] xebejh.exe



O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\xxxxxx\CONFIG~1\Temp\svchost.exe 1



O4 - HKLM\..\Run: [Microsoft Update Machine] xebejh.exe



O4 - HKLM\..\RunServices: [Microsoft Update Machine] xebejh.exe





Envianos el fichero indicado y lo analizaremos para controlarlo con el ELISTARA:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 8-05-2008

[msc hotline sat]

Cerrada la entrada ya a monitorizacion por hoy, un analisis preliminar confiorma que las muestras enviadas son variantes de Bagle, por lo que puede renombrarlas a .VIR para que al reiniciar ya no sean utilzadas



Mañama, si Dios quiere, entraran en monitorizacion e implementaremos su control y eliminacion en la proxima version del ELIBAGLA



saludos



ms, 8-05-2008

[bobby]

Creo que ya casi lo teneis solucionado, pero todavía me preocupa lo de no poder ver los archivos y carpetas ocultas de mi sistema y más todavía el no tener la opción para conseguirlo en “Mi Pc”-“Herramientas”-“Opciones de carpeta”-“Ver”, es como si hubiera desaparecido.



Os cuento lo sucedido:

Siguiendo vuestras instrucciones, en modo seguro , apliqué HJT y eliminé las claves que me decíais. A continuación y una vez iniciada la sesión de forma normal intenté lo que llevo intentando estos dos días pero sin resultado, es decir, doble click en MiPC , pulso en el menú Herramientas, y luego en Opciones de carpeta. Voy a la pestaña Ver, desmarco "Ocultar extensiones de archivo para tipos de archivo conocidos" pero yo no tengo ninguna carpeta de "Archivos ocultos" ( antes si que la tenía) y he desmarcado "Ocultar archivos protegidos del sistema operativo", con lo que, pinchando en “ Aplicar”, me siguen sin aparecer los archivos y carpetas ocultas del sistema.



Entonces he ido a mi carpeta de System32 para buscar xebejh.exe, pero como ya he dicho, seguía sin visualizar ningún archivo oculto (ni este ni ninguno del sistema). Pero esta vez, ya dentro de esta carpeta he lanzado una búsqueda configurada con elementos ocultos y por fín tuve mi recompensa: encontré el dichoso xebejh.exe con icono de archivo oculto así que os voy a enviar el archivo siguiendo vuestras instrucciones y he cambiado la extensión de este archivo de .exe a .VIR.



Espero que me podáis ayudar ya que no veo ninguna carpeta ni archivo oculto de mi sistema, ya no solo el famoso xebejh y como os he dicho no me aparece ni la opción de cambiarlo en “Mi Pc”-“Herramientas”-“Opciones de carpeta”-“Ver”.

Habría alguna otra forma de lograrlo? o simplemente cuando nos deshagamos de este desagradable bicho todo volverá a la normalidad?



Espero vuestra respuesta y ayuda y gracias de nuevo por todo. Un saludo.

Por si os sirve os posteo el informe del HJT:



Logfile of HijackThis v1.99.1

Scan saved at 19:36:09, on 08/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Documents and Settings\xxxxxx\Escritorio\satinfo---web\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\archivos de programa\mcafee\virusscan\scriptcl.dll

O2 - BHO: enlaces.110mb Toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenl0.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: enlaces.110mb Toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenl0.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"

O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\xxxxxx\CONFIG~1\Temp\svchost.exe 1

O4 - HKLM\..\Run: [Microsoft Update Machine] xebejh.exe

O4 - HKLM\..\Run: [mcagent_exe] C:\Archivos de programa\McAfee.com\Agent\mcagent.exe /runkey

O4 - HKLM\..\RunServices: [Microsoft Update Machine] xebejh.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog

O4 - HKCU\..\Run: [Microsoft Update Machine] xebejh.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_9 -reboot 1

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download with YouTube Video Converter - C:\Archivos de programa\Xilisoft\YouTube Video Converter\upod_link.HTM

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5287/mcfscan.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: McAfee Application Installer Cleanup (0216961209929783) (0216961209929783mcinstcleanup) - Unknown owner - C:\DOCUME~1\xxxxxx\CONFIG~1\Temp\021696~1.EXE (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\ARCHIV~1\ARCHIV~1\McAfee\EmProxy\emproxy.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan\McShield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\archivos de programa\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Archivos de programa\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

[msc hotline sat]

A ver bobby, que esto no me cuadra !



EL ELIBAGLA indicó:



EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\xxxxxx\XEBEJH.VIR --> Eliminado Bagle.dldr



entonces es qye conoce por cadenas el XEBEJH, en consecuencia estas m uestras que dices: [b][i]Voy a intentar enviarlas también sin contraseña y ya me direis ( los archivos eran :"C:\Documents and Settings\ xxxxxx\ xebejh.exe" y "HLDRRR.EXE.Muestra Elibagle v.11") [/i][/b] las ha de controlar ya la verison actual del ELIBAGLA 11.33 !



ARRANCA EN MODO SEGUR0 y lanza de nuevo dicho ELIBAGLA, como ya deberías haber hecho segun indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=23824



y espero que ya contyroles estos ficheros...



Informanos del resultado



ms, 8-05-2008

[bobby]

Quizá fuí yo quien no se explicó bien. Las muestras que he vuelto a mandaros esta tarde temprano con los nombres de :"C:\Documents and Settings\ xxxxxx\ xebejh.exe" y "HLDRRR.EXE.Muestra Elibagle v.11" son las que estaban extraviadas; os las hes enviado pensando que igual os servían.



Pero como ya os comenté al mediodia en un mensaje, al lanzar el ELISTARA y el ELIBAGLA este mediodía, me las eliminaron del sistema, pero os las he podido volver a mandar porque tenía una copia de ellas en un lapiz de memoria.

Igual el ELIBAGLA conoce por cadenas el XEBEJH como decís, pero cuando volví a lanzarlo no detectó nada y fué el ELISTARA al volver a lanzarlo el que en su informe decía lo de mandar el archivo "C:\Windows\System32\xebejh.exe" y también me lo decíais vosotros en vuestra respuesta.

El caso es que esta tarde, como comentaba en mi último mensaje, he hecho lo que decíais, quité las claves, pero no pude conseguir que el sistema me enseñe los archivos y carpetas ocultas ya que no me dá esa opción como ya os dije, pero aún así, entrando en la carpeta de "System32", pude realizar una búsqueda de carpetas ocultas con el nombre de XEBEJH.EXE y por fín me apareció. Así que os he mandado una muestra y después he cambiado su extensión por VIR.



Nada más llegar a casa esta noche y leer vuestro mensaje, he entrado en modo seguro y he lanzado ELIBAGLA y después ELISTARA y ninguno de los dos ha detectado nada ni sale ningún mensaje de enviaros archivos. He vuelto a entrar en windows en sesión normal y los he vuelto a lanzar y tampoco han detectado nada ni sale nada en el informe. Después he seguido el camino "C:\Windows\System32" y he entrado en "Herramientas"-"Opciones de carpeta"-"Ver"y sigue sin aparecer la opción de "Mostrar todos los archivos o carpetas ocultos", es decir, sigo sin poder ver archivos ni carpetas ocultos de ningú tipo en mi sistema. Como no había posibilidad así de ver que archivos o carpetas ocultos puedo tener, he probado con hacer una "búsqueda", marcando la casilla como hice esta mañana de "buscar entre carpetas y archivos ocultos" y con el nombre de "xebejh" y me ha aparecido el archivo oculto con el nombre de "xebejh.VIR",es decir, el que localizé y renombré este mediodia, osea que sigo teniendo el archivo en mi pc y ni el ELIBAGLA ni el ELISTARA lo detectan y sigo sin poder ver en pantalla archivos ni carpetas ocultas, aunque por lo que parece el sistema si que sabe que están ahí porque sino no me hubiera aparecido "xebejh.VIR" en mi búsqueda.



Deseo que me podais ayudar porque ya no sé lo que hacer. Como ya os he dicho, esta tarde os he enviado un mensaje con el archivo "C:\Windows\System32\xebejh.exe" , espero que os sirva.Gracias y un saludo.

[msc hotline sat]

Pues este XEBEJH.EXE debe ser distinto al que ya detectamos en EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\xxxxxx\XEBEJH.VIR --> Eliminado Bagle.dldr



pues la extension es lo de menos, el contenido es lo que cuenta, y si lo detectamos entonces, lo debería detectar ahora, si no hubiera cambiado su interior.



Como que no estoy en el trabajo, ni estaba ayer noche cuando escribí mi post anteior en este Tema, no puedo acceder al fichero que nos has enviado, por esto te pedí que probaras de nuevo el ELIBAGLA que con el que lo detectaste, y si fue el ELISTARA el que te inicialmente pidió muestra de este fichero:



EliStartPage v16.23 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "MICROSOFT UPDATE MACHINE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\xebejh.exe





fué porque detectó dos claves (RUN y RUNSERVICES) con el mismo valor llamando al mismo fichero, lo cual es típico de virus, e independientemente del virus que fuere, tanto el ELISTARA como el ELITRIIP piden muestra del fichero lanzado al ser sospechoso, pero si tener que ver el interior del fichero, el cual una vez analizado se vió que era Bagle, y por ello se incluyó su deteccion en el ELIBAGLA.



Veremos el fichero enviado, a ver si ha cambiado ???



lo analizaremos esta mañana, cuando entremos a trabajar, dentro de unas 3 horas... A ver si encontramos los cincos pies al gato :wink:



saludos



ms, 9-05-2008

[msc hotline sat]

Analizada la muestra recibida, se controla con el actual ELIBAGLA:



Fri May 09 13:31:35 2008

EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad A:\

A:\XEBEJH.EXE --> Eliminado Bagle.dldr



Nº Total de Directorios: 0

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Por tanto damos el Tema por solucionado y procedemoa a cerrarlo



saludos



ms, 9-5-2008