W32/Rontokbro.gen@MM (SOLUCIONADO)

Almava · Mensaje por **Almava** » 03 Dic 2007, 22:12

Hola a todos!

Os escribo de nuevo porque tengo otra vez un problemilla con otro virus. Desde hace unos dias no hago mas que recibir informacion de mi antivirus, el McAfee, como la que os adjunto a continuacion. El virus en cuestion es el siguiente W32/Rontokbro.gen@MM. El McAfee lo elimina o limpia,pero me extraña que durante dias siempre me avise de que ha limpiado o eliminado este virus de distintas carpetas. Que debo hacer?

Un saludo enorme.

Almava · Mensaje por **Almava** » 03 Dic 2007, 22:23

Se me olvido adjuntar el archivo del que os hablaba abajo.

Gracias.

Mensaje por **flacoroo** » 03 Dic 2007, 22:32

bajate estos programitas y ejecutalos reiniciando tu compu en modo seguro.....
http://www.zonavirus.com/descargas/elistara.asp
http://www.zonavirus.com/descargas/elitriip.asp

Descargar Elinotiff

Descargar Elibagla

al terminar de ejecutarse nos pegas el siguiente archivo que se crea en c:infosat.txt, nos dices como te fue.....

Mensaje por **msc hotline sat** » 03 Dic 2007, 22:33

Desactiva la restauracion de sistema, arranca en modo segur0 y lanza el antivirus por todo el disco duro, que en este modo podrá eliminarlo

Y, tras reiniciar, nos cuentas el resultado, gracias

saludos

ms, 3-12-2007

Almava · Mensaje por **Almava** » 04 Dic 2007, 14:25

Hola de nuevo! Os cuento lo que ha pasado.

Primero desactive la restauracion del sistema y lo arranque en modo seguro. Pase el antivirus por el disco duro y al terminar no habia detectado ningun virus.

Luego pase el EliStarA (os adjunto el problema que me dio) - Primero lo intente pasar simplemente ejecutandolo pero como no me aparecio la pantallita de "EXPLORAR" lo intente pasar desde la pantallita negra que no se como se llama y el error que aparecio es el que os adjunto. Pase tambien EliTriip y Elibagla. Pero Elinotiff es extension .dll y no se como pasarlo o como unirlo a otro programa. Bueno, ya me seguis diciendo que debo hacer.

Ah! Tenia un wallpaper y ha desaparecido al pasar estos programas, es lo unico raro que he notado hasta ahora.

Un saludo.

Almava · Mensaje por **Almava** » 04 Dic 2007, 14:27

Como siempre se me olvido adjuntaros el archivo que se crea al pasar los programitas:

Tue Dec 04 11:28:22 2007

EliStartPage v15.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\Mariano\Configuración local\Datos de programa\Microsoft\WALLPAPER1.BMP --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Dec 04 11:33:23 2007

EliTriIP v4.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Dec 04 11:33:30 2007

EliTriIP v4.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 7381

Nº Total de Ficheros: 93739

Nº de Ficheros Analizados: 21924

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Dec 04 11:56:15 2007

EliBagle v10.76 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Dec 04 11:56:16 2007

EliBagle v10.76 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

LEWIS, C. S. - LAS CRONICAS DE NARNIA 7 - LA ?LTIMA BATALLA.ZIP -> BagleCAPTURES OF HUMAN-BEINGS SUPPLYING - TOWNS OF MORE 50 INHABITANTS.ZIP -> Bagle

Muchas gracias!

Mensaje por **msc hotline sat** » 04 Dic 2007, 14:47

Como que no tenias nada !?!

"EliBagle v10.76 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
LEWIS, C. S. - LAS CRONICAS DE NARNIA 7 - LA ?LTIMA BATALLA.ZIP -> BagleCAPTURES OF HUMAN-BEINGS SUPPLYING - TOWNS OF MORE 50 INHABITANTS.ZIP -> Bagle "

y piensa que el Bagle contienE RootKit, por lo que podía impedir que vieras lo que había, ahora vuelve a pasar el antivirus en la forma indicada, y si ya no detectas nada, cabrá considerar que está solucionado, pero informanos en cualquier caso

Y para evitar que te elimine este wallpaper del que tenemos muestras sospechosas en la misma carpeta, desactiva la eliminacion cuando explores con el ELISTARA y cuando lo detecte y pregunte si quieres eliminarlo dile que no, aunque no sé si este wallpaper vale la pena, tu sabrás

saludos
ms, 4-12-2007

Mensaje por **flacoroo** » 04 Dic 2007, 16:58

descargate de nuevo estos programitas y los ejecutas en modo seguro o desde la consola de DOs...el elinotif es un complemento del Elistara que se ejecuta por el si es requerido....y ya que tenias un bagle ejecuta de nuevo el elibagla......
http://www.zonavirus.com/descargas/elistara.asp
Descargar Elinotiff
Descargar Elibagla

no se te olvide pegar de nuevo el archivo de C:infosat.txt

Almava · Mensaje por **Almava** » 05 Dic 2007, 13:18

Aver, os cuento de nuevo. Pase el antivirus McAfee en modo seguro y con la restauracion del sistema desactivado y sigue sin encontrar nada, con lo que segun msc hotline sat el problema debe estar solucionado.

Luego pase el ELISTARA (como siempre, no me ofrecio la posibilidad de explorar los archivos como si me ofrece en Elitriip o Elibagla), ELITRIIP y el ELIBAGLA y abajo os adjunto el "informe" que se creo.

Espero noticias vuestras de si debo hacer algo mas o esta solucionado.

Un saludo y si ya esta solucionado, muchas gracias de antemano.

Wed Dec 05 10:14:08 2007

EliStartPage v15.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Wed Dec 05 10:19:20 2007

EliStartPage v15.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Wed Dec 05 10:22:50 2007

EliTriIP v4.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Dec 05 10:22:51 2007

EliTriIP v4.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 7396

Nº Total de Ficheros: 93886

Nº de Ficheros Analizados: 21937

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Wed Dec 05 10:41:10 2007

EliBagle v10.76 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Dec 05 10:41:16 2007

EliBagle v10.76 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

LEWIS, C. S. - LAS CRONICAS DE NARNIA 7 - LA ?LTIMA BATALLA.ZIP -> BagleCAPTURES OF HUMAN-BEINGS SUPPLYING - TOWNS OF MORE 50 INHABITANTS.ZIP -> Bagle

Wed Dec 05 11:13:31 2007

EliStartPage v15.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mensaje por **flacoroo** » 05 Dic 2007, 18:47

bajate este programa hijackthis y nos pegas el resultado para saber si no queda algo del bagle..

Mensaje por **msc hotline sat** » 05 Dic 2007, 19:04

Por mí está solucionado, pero si quieres probar lo que dice flacoroo, descarga la version 10.77 que ya hay en la web y nos posteas el resultado, gracias

saludos

ms, 5-12-2007

Almava · Mensaje por **Almava** » 05 Dic 2007, 22:56

Aqui os dejo lo del Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 20:56:02, on 05/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Internet Explorer\Iexplore.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: ShowBarObj Class - {43AE45CB-DDA7-454B-9650-93A4C090BDB8} - C:\Archivos de programa\Eyetide Media\Eyetide Viewer\Toolbar\ETBar.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Archivos de programa\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &EyeTideBar - {987D027C-F0EF-40fa-9A1A-C45007F1F36F} - C:\Archivos de programa\Eyetide Media\Eyetide Viewer\Toolbar\ETBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CplBCL50] C:\Archivos de programa\EzButton\CplBCL50.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] "C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [VoipStunt] "C:\Archivos de programa\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [VoipBuster] "C:\Archivos de programa\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = ?
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Archivos de programa\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ArcGIS License Manager - Unknown owner - C:\ARCHIV~1\ESRI\License\arcgis9x\lmgrd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\vstskmgr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

Ya me decis si tengo que hacer algo.

Un saludo.

Mensaje por **msc hotline sat** » 06 Dic 2007, 13:00

Log limpio. Y al no probar el ultimo ELIBAGLA como se le decía, nada mas podemos ver.

Se da el Tema por solucionado y se procede a cerrarlo

saludos

ms, 6-12-2007