Sigo sin solucionar mi problema!!

[Skye]

Tengo un problema con mi ordenador, yo creo que es un virus porque cuando le paso el antivirus online: https://www.eset.es/analisis-online/ me dice que tengo el Java/Shidow.BH, el Win32/Mitqlieder.DY y el Win32/Nitwiz!.generic.



La cuestión es que desde hace ya un tiempo me dejó de funcionar en el ordenador cualquier tipo de antivirus ya que sin motivo aparente desparecían los archivos .exe de estos cuando los instalaba. Después se me desconfigura solo y me desactiva lo de las actualizaciones automáticas de windows cada vez que reinicio, asique tengo que estar cambiandolo cada dos por tres. He intentado actualizar mi ordenador muchas veces pero siempre me da error y no puedo instalar si quiera el service pack 1, por el mismo motivo que los antivirus, dice que no encuentra el archivo .exe. Además curiosamente las actualizaciones que me dan problemas son las de seguridad...

Ya me estoy volviendo loco, porque no se como desinfectar mi ordenador y no encuentro información sobre estos virus en internet.

[Skye]

Por cierto, se me olvidó comentar que ya intenté pasar el elitrip pero no puedo iniciar el ordenador en modo a prueba de errores, porque me sale una pantalla azul de error crítico y nisiquiera me da a elegir si puedo iniciar como administrador o usuario, es darle a modo seguro y salirme la pantalla de error crítico.

[msc hotline sat]

Pues lo tiene facil:



Desactive la restauración de sistema y luego arranque en modo seguiro con funciones de red y lance el antivirus ONLINE indicado, que así podrá desinfectarselo



Y nos cuenta el resultado, gracias



saludos



ms, 15-10-2006

[Skye]

Hice lo que me dijo, desactivé lo de restaurar sistema e intenté iniciar en modo seguro pero el resultado fue exactamente el mismo que antes, me salió de nuevo la pantalla azul con el error crítico. ¿No hay ninguna manera de solucionar el problema sin tener que entrar en modo seguro?

[Skye]

Acabo de pasar el Elitsara y me ha dicho que a eliminado un troyano, el Alexamas me ha dicho que tengo algunos paquetes microsoft sin actualizar (normal, porque no puedo actualizar windows normalmente). Después en la exploración me detecto el siguiente virus-->NVDV:DLL-->Hotbar

Aqui dejo el infosat



Sun Oct 15 18:00:17 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

D:\WINDOWS\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Oct 15 18:01:45 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

[msc hotline sat]

Luego le faltan parches !!! y donde quiere ir con un windows a media ???



Lance un windowsupdate !!!



Sin ello le puede pasar cualquier cosa, ya que no tiene coregidos los fallos reconocidos ...



Tras ello comentenos el resultado, gracias



saludos



ms, 15-10-2006

[Skye]

Pero ese es el problema!! He intentado mil veces actualizar y me da error siempre, he intentado solucionarlos con los consejos que te dan en microsoft y nada me sirve. Debo de tener un virus que me afecta a los .exe y no puedo hacer nada...

[msc hotline sat]

Pues posteenos log del HJT:





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos





saludos



ms, 15-10-2006

[Skye]

Logfile of HijackThis v1.99.1

Scan saved at 18:43:48, on 15/10/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\SOUNDMAN.EXE

D:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

D:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

D:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

D:\WINDOWS\vsnpstd.exe

E:\Programas\Seguridad_mantenimiento y utilidades\driver_imp\HP Software Update\HPWuSchd2.exe

D:\WINDOWS\System32\ctfmon.exe

D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

E:\Programas\Download\Free Download Manager\Free Download Manager\fdm.exe

D:\Archivos de programa\Skype\Phone\Skype.exe

E:\Programas\Seguridad,mantenimiento y utilidades\driver wireless\Wlan.exe

D:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

D:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

E:\Programas\Seguridad_mantenimiento y utilidades\driver_imp\Digital Imaging\bin\hpqtra08.exe

D:\WINDOWS\System32\svchost.exe

E:\Programas\Seguridad_mantenimiento y utilidades\driver_imp\Digital Imaging\bin\hpqimzone.exe

E:\Programas\Seguridad_mantenimiento y utilidades\driver_imp\Digital Imaging\bin\hpqSTE08.exe

D:\Documents and Settings\Lucia\Datos de programa\hidn\hidn2.exe

D:\WINDOWS\System32\wuauclt.exe

D:\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Programas\Download\Free Download Manager\Free Download Manager\iefdmcks.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] D:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "D:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [MessengerPlus3] "D:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [avast!] D:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [REGSHAVE] D:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [snpstd] D:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [HP Software Update] E:\Programas\Seguridad_mantenimiento y utilidades\driver_imp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] D:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [gwiz] D:\WINDOWS\System32\ntsystem.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Free Download Manager] E:\Programas\Download\Free Download Manager\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [Skype] "D:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [3COM] E:\Programas\Seguridad,mantenimiento y utilidades\driver wireless\Wlan.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [drv_st_key] D:\Documents and Settings\Lucia\Datos de programa\hidn\hidn2.exe

O4 - Startup: Neverwinter Nights Registration.lnk = E:\Juegos\Nevewinter Nights\ereg\ATR1.EXE

O4 - Global Startup: Bandeja del sistema de ATI CATALYST.lnk = D:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\Programas\Seguridad_mantenimiento y utilidades\driver_imp\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = D:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = E:\Programas\Seguridad_mantenimiento y utilidades\driver_imp\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download all with Free Download Manager - file://E:\Programas\Download\Free Download Manager\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://E:\Programas\Download\Free Download Manager\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://E:\Programas\Download\Free Download Manager\Free Download Manager\dllink.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\PROGRA~1\SEGURI~1\Office\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by24fd.bay24.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: DirectX Service (DirectMotw) - Unknown owner - d:\windows\system32\directx.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe

[Skye]

Debo darle al boton fix checked para arreglar todo lo que ha encontrado????

[msc hotline sat]

NI LOCO !!!



Se analizara y se te daran instrucciones !ç



ms,

[msc hotline sat]

Es que no tiene ni un parche !!!



Platform: Windows XP (WinNT 5.01.2600)



MSIE: Internet Explorer v6.00 (6.00.2600.0000)





CONOCE ESTAS APLICCIONES:



hidn2.exe



iefdmcks.dll



ntsystem.exe



E:\Programas\Seguridad,mantenimiento y utilidades\driver wireless\Wlan.exe



D:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"



D:\Documents and Settings\Lucia\Datos de programa\hidn\hidn2.exe



E:\Juegos\Nevewinter Nights\ereg\ATR1.EXE



hpqthb08.exe







y ELIMINAR:



O23 - Service: DirectX Service (DirectMotw) - Unknown owner - d:\windows\system32\directx.exe (file missing)





SALUDOS



ms, 15-10-2006

[Skye]

Ya lo se que no tengo ningún parche... por eso estoy desesperado, me bloquea cualquier actualización...

¿Me esta preguntando si conozco esos archivos que pone ahi?

Hay algunas que si pero hay otras que no tengo ni idea de que pueden ser...

¿Con lo de eliminar se refiere a que le de al botón de fix en el HJT?

Gracias por la rapidez

[msc hotline sat]

El boton de FIX es para eliminar las claves marcadas



Los ficheros que no conozcas envianoslos y los analizaremos





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



y la clave a eliminar indicada, arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED



saludos



ms, 15-10-2006

[Skye]

D:\Documents and Settings\Lucia\Datos de programa\hidn\hidn2.exe

Este es el archivo que no me suena. Lo he buscado para enviaroslo pero no está, ni siquiera dandole a mostrar archivos ocultos me aparece la carpeta hidn.



Sobre lo otro, no puedo iniciar en modo seguro como le dije antes ni siquiera desactivando lo de restaurar sistema, ya que me aparece un error crítico. He intentado eliminar el archivo con windows iniciado normalmente pero no puedo.

[msc hotline sat]

Entonces tiene mal el sistema, haga una REPARACION:



Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate





y aranque en modo seguro y haga lo indicado



ms.

[Skye]

YA arregle mi problema... lei una entrada en este foro de una chica que le pasaba algo muy parecido a lo mio y le pasé el EliBagle y resultó ser que ese era el virus que tenia asi que me lo desinfecto. Aqui esta el infosat:



Sun Oct 15 21:43:05 2006

EliBagle v9.6 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones (por Acción Directa):

D:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR

D:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

D:\DOCUMENTS AND SETTINGS\LUCIA\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

D:\DOCUMENTS AND SETTINGS\LUCIA\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)

D:\DOCUMENTS AND SETTINGS\LUCIA\DATOS DE PROGRAMA\HIDN\HIDN2.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v9.6

a "virus@satinfo.es". Gracias.

D:\DOCUMENTS AND SETTINGS\LUCIA\DATOS DE PROGRAMA\HIDN\M_HOOK.SYS --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v9.6

a "virus@satinfo.es". Gracias.

D:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR

D:\WINDOWS\ELIST.XPT --> Eliminado Bagle

C:\ERROR.GIF --> Eliminado Bagle

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"



Sun Oct 15 21:43:36 2006

EliBagle v9.6 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones (por Exploración):

VINYL_AUDIOCODEC_V670B[1].ZIP -> Bagle

Sun Oct 15 21:47:30 2006

EliBagle v9.6 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones (por Acción Directa):

D:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR --> Eliminado

D:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Eliminado

Eliminada Carpeta "%WinDir%\Hidn"

Eliminada Carpeta "%AppData%\Hidires"



Lo unico que me preocupa es esta linea:

D:\DOCUMENTS AND SETTINGS\LUCIA\DATOS DE PROGRAMA\HIDN\HIDN2.EXE --> Bagle Acceso Denegado.

Que coincide con el archivo que le dije que no conocía de la lista que me puso al pasar el HJT. ¿Esta ya totalmente desinfectado mi ordenador o ese archivo sige por ahi rondando?

Por cierto, ya consegui actualizar windows e instalar el antivirus =).

Gracias por todo!

[Skye]

Una ultima cosa... ¿Quieren que les envie las muestras o no hace falta?

[msc hotline sat]

Aparte como que detectaba un Mitglieder, que es una variante del Bagle, pruebe de lanzar el ELIBAGLA:





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp





y para los otros prueba el ELITRIIP_



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



SALUDOS



MS, 16-10-2006

[Skye]

Solo me creo archivo de texto el elitrip, el elibagle no creo nada...



Mon Oct 16 20:08:49 2006

EliTriIP v2.60 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

D:\WINDOWS\$NtUninstallKB834707-IE6-20040929.115007$\IEXPLORE.EXE --> Eliminado, DIRECTX.EXE

D:\WINDOWS\$NtUninstallQ329048_RTM$\IEXPLORE.EXE --> Eliminado, DIRECTX.EXE