nuevo y con virus

rami ramilans · Mensaje por **rami ramilans** » 22 Feb 2007, 00:46

A ver quien puede echarme una mano.

No puedo instalar ningún antivirus. He pasado el Hijackthis y me ha dado esto:

Logfile of HijackThis v1.99.1

Scan saved at 23:35:53, on 21/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\ASUS\Probe\AsusProb.exe

C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

C:\Archivos de programa\Trust\3011A WIRELESS OPTICAL DESKSET\Keyboard\kbdap32a.EXE

C:\Archivos de programa\Trust\3011A WIRELESS OPTICAL DESKSET\Mouse\mouse32a.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\wintems.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Logitech\Video\FxSvr2.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar4.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AnyDVD] C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Trust\3011A WIRELESS OPTICAL DESKSET\Keyboard\kbdap32a.EXE

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Trust\3011A WIRELESS OPTICAL DESKSET\Mouse\mouse32a.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [WatchDog] C:\Archivos de programa\mobile PhoneTools\WatchDog.exe

O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController

O4 - HKLM\..\Run: [USBToolTip] "C:\Archivos de programa\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\FirstStart.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O4 - Startup: HotSync Manager.lnk = C:\Archivos de programa\Palm\HOTSYNC.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: VIA RAID TOOL.lnk.disabled

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} (ReveladoOnlineX Control) - https://www.fotoprix.es/ReveladoOnline/SetupReveladoOnline.exe

O16 - DPF: {2CA0FF2C-0CE1-4382-A0C4-B2782965CCC2} (G-Vista ActiveX) - http://jacobeo.navarra.es/Scene_3D/plugin/gvista3_0_13_1.cab

O16 - DPF: {42955552-F99A-4A60-AB04-8EC59DC5CCC4} (EB1004 Control) - http://eb.dss.com.tw/EB1104NET.cab

O16 - DPF: {7A0F64EC-5299-4315-9B5F-9778A2E56824} (EB1004 Control) - http://eb.dss.com.tw/EB1104NET.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CFE8D-DD00-48CB-8674-EC9D1A0B7270}: NameServer = 195.235.113.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{1E7CFE8D-DD00-48CB-8674-EC9D1A0B7270}: NameServer = 195.235.113.3

O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CFE8D-DD00-48CB-8674-EC9D1A0B7270}: NameServer = 195.235.113.3

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 02:52

Aqui esta el problema (Tienes un Bagle rondando)

C:\WINDOWS\system32\wintems.exe

Pasate ELIBAGLA, en modo normal, te generara un log en Unidad C, con nombre de infoSat.txt copia contenido y pegalo aqui...

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

ELISTARA: (Esta ejecutada en modo seguro tras pasar ELIBAGLA):

http://www.zonavirus.com/descargas/elistara.asp

Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Mensaje por **msc hotline sat** » 22 Feb 2007, 07:40

Efectivamente, un wintems.exe lo controlamos desde:

ELIBAGLA

--v10.15-- (19 de Febrero del 2007) (Muestras de (11)Bagle "HIDR.EXE, M_HOOK.SYS, WINTEMS.EXE y HLDRRR.EXE")

pero variantes de Bagle las hay a diario, si no lo controlaramos, envienos muestra del mismo a:

https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 22-02-2007

rami ramilans · Mensaje por **rami ramilans** » 22 Feb 2007, 10:23

Grácias a todos, aunque de momento sigo igual. El problema está en que no puedo bajarme el Elibagla. Alguien sabe de algún sitio donde poder hacerlo?

rami ramilans · Mensaje por **rami ramilans** » 22 Feb 2007, 10:43

VUelvo a ser el de antes. Al fín descargué el Elibagla y, como me habeis pedido cuelgo el fichero procesado.

Muchas grácias.

Laura

Thu Feb 22 09:38:26 2007

EliBagle v10.17 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.17

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\WIN\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.17

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\WIN\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

Thu Feb 22 09:39:45 2007

EliBagle v10.17 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\WINTEMS.EXE.VIR --> Eliminado Bagle

Mensaje por **msc hotline sat** » 22 Feb 2007, 11:04

Pues acertamos ! :

Pero además de poner estos ficheros viricos de la nueva variante de Bagle, fuera de servicio, te pedimos nos envies muestras de los mismos para analizar y asi controlar el las nuevas versiones del ELIBAGLA:

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.17

Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.17

recuerda : https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 22-02-2007