No consigo entrar en modo seguro con virus (SOLUCIONADO)

[Encarna1960]

Hola,

me entro un "mal bicho" que hizo desaparecer el avast; el zone alarm y spy boot s&d.

Despues de escanear con antivirus y bajarme algunos, he conseguido mejorar el funcionamiento, pero

no consigo entra en modo seguro ni con F8 ni con msconfig

El Spy Sweeper me dice:



Indicio marcado como Eliminar siempre

19:56: HKU\WRSS_Profile_S-1-5-21-502774423-3345315775-2970883972-1010\frmprincipal\ (ID = 1100582)

19:56: Amenaza marcada como Eliminar siempre

19:56: Encontrado Trojan Horse: trojan-phisher-bankerant

Indicio marcado como Eliminar siempre

19:56: HKU\WRSS_Profile_S-1-5-21-502774423-3345315775-2970883972-1010\software\microsoft\internet explorer\new windows\allow\ || http://www.searchweb2.com (ID = 130290)

Indicio marcado como Eliminar siempre

19:56: HKU\WRSS_Profile_S-1-5-21-502774423-3345315775-2970883972-1010\software\microsoft\internet explorer\new windows\allow\ || http://www.lop.com (ID = 130289)

Indicio marcado como Eliminar siempre

19:56: HKU\WRSS_Profile_S-1-5-21-502774423-3345315775-2970883972-1010\software\microsoft\internet explorer\new windows\allow\ || searchweb2.com (ID = 130288)

Indicio marcado como Eliminar siempre

19:56: HKU\WRSS_Profile_S-1-5-21-502774423-3345315775-2970883972-1010\software\microsoft\internet explorer\new windows\allow\ || lop.com (ID = 130287)

19:56: Amenaza marcada como Eliminar siempre

19:56: Encontrado Adware: lopdotcom

19:56: Iniciando barrido de registro

19:56: Barrido de memoria finalizado, tiempo transcurrido: 00:01:57

19:54: Iniciando barrido de memoria

19:54: Barrido iniciado utilizando la versión de las definiciones 829

19:54: Spy Sweeper 5.0.7.1608 iniciado



y no consigo ver en el registro ni con el regseeker (busqueda)

La verdad es que empiezo a estar



:twisted:



Gracias de antemano y un saludo.

[msc hotline sat]

Prueba estas tres utilidades: ELIBAGLA, ELISTARA Y ELITRIIP



Cada una controla algunos virus que hacen lo indicado, y especialmente del BAGLE ha habido nuevas variantes que impiden arrancar en modo seguro como dices... /y que algunos antivirus aun no las detectan)



Espero que cin ello lo resuelvas, comentanos el resultado, gracias





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 13-01-2007

[Encarna1960]

Hola,

Esto es paso a paso lo sucedido

1º se eliminó 1 de los virus detctados.

2º no se eliminaba el ssfs0509.sys Roolkit con Elitriip v3.04 con el mensaje "en el siguiente reinicio

3º elistara se queda colgado con "Eliminando Temporales de IE

por lo que debo terminar la ejecucion del .exe

4º reinico el sistema y sale el mensaje de ¿bloquear intento intrusión TCP445? digo que SI

5º Consigo reiniciar el sitema a prueba de fallos

6º se elimina el ssfs0509.sys

7º paso el disk dleaner y el regseeker

8º reinicio normal

9º paso elitriip y me vuelve a dar el mensaje de ssfs0509.sys infectado y que en proximo reinicio quedará eliminado.



¿Qué mas debo hacer?



Muchas gracias de antemano y un cordial saludo.



:)

[msc hotline sat]

Los logs y txt no se deben agregar, pues con ello se pierde la estructura ,,, deben copiarse y pegarse !



Veamos lo que sacamos en claro:



Sat Jan 13 20:22:59 2007 EliBagle v10.03 (c)2007 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Acción Directa): Restaurada Clave: "SafeBoot\Minimal y Network" Sat Jan 13 20:26:23 2007 EliTriIP v3.04 (c)2007 S.G.H. / Satinfo S.L. --------------------------------------------- Lista de Acciones (por Exploración): C:\WINDOWS\SiSport.sys --> Eliminado, RootKit Sat Jan 13 20:34:42 2007 EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Acción Directa): Eliminadas las Paginas de Inicio y de Busqueda del IE Sat Jan 13 20:37:23 2007 EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Acción Directa): Eliminadas las Paginas de Inicio y de Busqueda del IE Sat Jan 13 21:13:11 2007 EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Acción Directa): Eliminadas las Paginas de Inicio y de Busqueda del IE Sun Jan 14 10:43:59 2007 EliTriIP v3.04 (c)2007 S.G.H. / Satinfo S.L. --------------------------------------------- Lista de Acciones (por Exploración): C:\WINDOWS\system32\drivers\SSFS0509.sys --> Eliminado, RootKit Sun Jan 14 10:47:46 2007 EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L. -------------------------------------------------- Lista de Acciones (por Acción Directa): Eliminadas las Paginas de Inicio y de Busqueda del IE



Bueno hay pululando un rootkit del bagle...



Arranca en modo seguro AHORA QUE PUEDES, y lanza el ELIBAGLA



y nos POSTEAS el infosat, gracias



saludos



ms, 14-01-2007

[Encarna1960]

Hola,

ante todo Gracias,

este es le resultado de infosat.txt



Sat Nov 25 10:54:14 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{AE18DA4E-BE15-4925-81BB-890C04AF0200}" -> C:\Archivos de programa\Gold Codec\isaddon.dll

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Nov 25 11:02:30 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jan 13 20:22:59 2007

EliBagle v10.03 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



Sat Jan 13 20:26:23 2007

EliTriIP v3.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\SiSport.sys --> Eliminado, RootKit



Sat Jan 13 20:34:42 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE



Sat Jan 13 20:37:23 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE



Sat Jan 13 21:13:11 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE



Sun Jan 14 10:43:59 2007

EliTriIP v3.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\drivers\SSFS0509.sys --> Eliminado, RootKit



Sun Jan 14 10:47:46 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE



Sun Jan 14 15:00:08 2007

EliTriIP v3.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\drivers\SSFS0509.sys --> Eliminado, RootKit



Sun Jan 14 18:47:40 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE



Sun Jan 14 18:48:24 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE



Sun Jan 14 18:53:28 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\WinAmp\WinAmp 5.08D\WINAMP508D_PRO.EXE --> AutoExtraible

D:\0 Comp Imag Zip Rar etc\Juegos\X-PLANE 7 ESPAñOL SIMULADOR AEREO.EXE --> AutoExtraible



Sun Jan 14 18:57:04 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE



Sun Jan 14 19:00:42 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Spyware Doctor\tools\EG.DAT.VIR.VIR.VIR --> Eliminado, DownLoader

C:\Archivos de programa\Spyware Doctor\tools\KLG.DAT.VIR.VIR.VIR --> Eliminado, DownLoader

C:\Archivos de programa\Spyware Doctor\tools\SWPG.DAT.VIR.VIR.VIR --> Eliminado, DownLoader



Sun Jan 14 19:03:13 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\WinAmp\WinAmp 5.08D\WINAMP508D_PRO.EXE --> AutoExtraible

D:\0 Comp Imag Zip Rar etc\Juegos\X-PLANE 7 ESPAñOL SIMULADOR AEREO.EXE --> AutoExtraible



Sun Jan 14 19:11:51 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE



Sun Jan 14 19:21:33 2007

EliStartPage v13.09 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE



y estas del extroyan

-------------------------------------------------------------------------------

Reporte - TROYAN EXPLORE 5.92 - Report

-------------------------------------------------------------------------------

Ad/Spy> 0 - Virus> 1 - EAP> 0% - SRI> Scan Full - TMR> 0 - SFP> 0

-------------------------------------------------------------------------------

Thriller

C:\WINDOWS\SYSTEM32\wrlogonntf.dll

-------------------------------------------------------------------------------

Reparación manual - Manually fix

Ejecutar en Modo Seguro - Execute in Safe Mode



Creo se refiere al Spy Sweeper



Muchas Gracias y un cordial saludo.

:D

[msc hotline sat]

Pues vea de arrancar en modo seguro y pasar dos veces el ELITRIIP, a ver si asi la segunda ya no encientra el ROOTKIT que parece resistirse-



y nos informa, gracias



saludos



ms, 14-01-2007



suponiendo que ya pueda arrancar en modo seguro, claro, segun indicado en:



Sat Jan 13 20:22:59 2007

EliBagle v10.03 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"

[Encarna1960]

Hola,



Entré en modo seguro y pasé dos veces el Elitriip sin que me detectase nada.

El Troyan explore seguía dandome la misma advertencia.

Entré modo seguro como administrador y eliminé la dll, luego como ususario pasé el regseeker limpié todos los registros.

El troyan explore me dice que estoy limpio.



Creo que esto (amén) se acabó.



Si precisáis de cualquier info adicional estoy a vuestra disposición.



Gracias por todo (TODO)



Un cordial saludo.



:arrow: :arrow: :D

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 15-01-2007