Posible virus me para el Windows Defender (SOLUCIONADO)

Carahuevo · Mensaje por **Carahuevo** » 18 Sep 2008, 12:57

Hola, soy nuevo en este foro, parece muy util.

Vamos a ver, mi problema es que me bajé un crack para una aplicación y al abrirlo el avast! me descubrió un troyano, pero antes de que pudiera eliminarlo, éste pudo más que él y me lo reventó. Luego el ordenador no me dejaba instalar ningún antivirus y me paraba los escaneos on line. Conseguí pasar el Kaspersky y me puso que era el Bagler y por ello llegué a esta página y ejecuté el Elibagla y reinicié. Creo que algún otro virus entró porque lo que me ocurre ahora es que no me deja abrir el Windows Defender (al iniciar el ordena me sale el mensaje de Windows Defender: "no se pudo inicializar la aplicación 0x800106ba. Un problema hizo que se detuviera el servicio de este programa") y también al iniciar el ordenador me aparece un mensaje en el que dice que Windows tiene bloqueados dos programas del inicio que son googletoolbarnotifier.exe y sttray.exe.

Por favor, si alguien sabe una posible solución, que me ayude. :roll:

Gracias.

P.D. Ah, por cierto, parece que también me da problemas para hacer las actualizaciones de windows vista.

Mensaje por **msc hotline sat** » 18 Sep 2008, 13:48

Puede probar con la trilogía que utilizamos como complemento de los antivirus, ELIBAGLA, ELISTARA y ELITRIIP

Si dice que ya ha probado el ELIBAGLA y que ha hecho su faena, pruebe con los otros dos:

msc escribió: ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos

Y si no detectara nada, lance este AV ONLINE y nos postea el informe resultante:

Kaspersky Security Scan

NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.

saludos

ms, 18-09-2008

Carahuevo · Mensaje por **Carahuevo** » 18 Sep 2008, 16:04

Os paso el informe: Me ha detectado 3 virus ¿?:

C:\Program Files\CyberLink\PowerDVD DX\QT3SUPPORT4.DLL --> Eliminado, ISTBar

C:\Program Files\DellSupport\BrowserPlugins\LICVALIDATE.DLL --> Eliminado, StartPage-CWZ

C:\Program Files\Roxio\VideoCore 9\VCPTRANSANIMATED3D.DLL --> Eliminado, AdClicker.BJ(BHO)

Thu Sep 18 02:07:36 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

Thu Sep 18 02:08:42 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 18765

Nº Total de Ficheros: 132557

Nº de Ficheros Analizados: 14346

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Sep 18 02:38:51 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

Thu Sep 18 15:08:56 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Sep 18 15:09:04 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Windows\System32\drivers\downld\394932.EXE --> Eliminado Bagle.VR

Nº Total de Directorios: 23328

Nº Total de Ficheros: 134964

Nº de Ficheros Analizados: 17160

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Thu Sep 18 15:22:54 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 2702

Nº Total de Ficheros: 11060

Nº de Ficheros Analizados: 2096

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Sep 18 15:29:01 2008

EliStartPage v16.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Sep 18 15:29:17 2008

EliStartPage v16.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\CyberLink\PowerDVD DX\QT3SUPPORT4.DLL --> Eliminado, ISTBar

C:\Program Files\DellSupport\BrowserPlugins\LICVALIDATE.DLL --> Eliminado, StartPage-CWZ

C:\Program Files\Roxio\VideoCore 9\VCPTRANSANIMATED3D.DLL --> Eliminado, AdClicker.BJ(BHO)

Nº Total de Directorios: 23320

Nº Total de Ficheros: 133940

Nº de Ficheros Analizados: 27657

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Thu Sep 18 15:46:12 2008

EliTriIP v5.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Sep 18 15:46:15 2008

EliTriIP v5.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 23320

Nº Total de Ficheros: 133944

Nº de Ficheros Analizados: 22920

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Sep 18 15:59:08 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Sep 18 15:59:10 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 23320

Nº Total de Ficheros: 134312

Nº de Ficheros Analizados: 17154

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **lucl** » 18 Sep 2008, 16:41

Si, te ha eliminado tres pero ademas elibagla te pide muestra

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.73

Envíanosla si no lo has hecho ya, gracias

viewtopic.php?f=2&t=45334

saludos

Carahuevo · Mensaje por **Carahuevo** » 18 Sep 2008, 18:03

lucl escribió:Si, te ha eliminado tres pero ademas elibagla te pide muestra
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.73

envianosla si no lo has hecho ya, gracias

viewtopic.php?f=2&t=45334

saludos

Ya lo mandé, lucl.

Mensaje por **msc hotline sat** » 18 Sep 2008, 19:19

Revisa este Tema:

https://foros.zonavirus.com/post143521.html#p143521

saludos

ms, 18-09-2008

Carahuevo · Mensaje por **Carahuevo** » 18 Sep 2008, 20:39

Pero si yo he recibido un correo dándome las gracias por haberlo enviado

¿¿??

Mensaje por **lucl** » 18 Sep 2008, 20:44

???????????? A ver que te dice Msc pero que yo sepa no se dan las gracias por mail a no ser que sea una novedad y yo no me haya enterado :? saludos

Carahuevo · Mensaje por **Carahuevo** » 18 Sep 2008, 21:09

lucl escribió:???????????? A ver que te dice Msc pero que yo sepa no se dan las gracias por mail a no ser que sea una novedad y yo no me haya enterado saludos

Pues yo he recibido esto:

Envío Muestra virusSATINFO <sat[arroba]satinfo.es> Añadirjueves, 18 de septiembre, 2008 18:27:15Para:
<~#~#~€@yahoo.com>
CC:

Gracias por las muestras de ficheros.

Acabamos de subir al área de utilidades de nuestra web,
www.satinfo.es, nueva versión mejorada de la herramienta
ELIBAGLA.EXE.

Saludos cordiales,

Dpto técnico

> --0-783617027-1221746988=:92999
> Content-Type: text/plain; charset=iso-8859-1
> Content-Transfer-Encoding: quoted-printable
>

Mensaje por **msc hotline sat** » 18 Sep 2008, 21:13

Puede que no lo hayas enviado a través del sistema automatizado de zonavirus, y haya llegado a SATINFO como tantos otros que recibimos, y que contesta un proceso automatizado, sin mantener correspondencia salvo que se indique el número de asociado a SATINFO, pero de las que no lo indican, ni me entero, aunque tarde o temprano las muestras se procesan todas, y es cuando se contesta informando sobre la version que lo controla.

Unicamente son las que se reciben en la cuenta de zonavirus@satinfo.es , indicando en el asunto el nick del forero, las que podemos dar mayor informacion en el foro, y ello puede hacerse manualmente o normalmente mediante el proceso automatizado de envio de muestras que implementó ADMIN en su día (hace unos meses), si bien hoy ya hemos dicho que excepcionalmente no funciona, por lo que debe hacerse segun el método manual de toda la vida.

De todas formas, como que hoy ha habido menos faena al no haber recibido ninguna muestra del foro, se han procesado muchos mails del montón, entre los que había Online Games (los que mas), Blackster, Vundos, Downloaders, SDBOTS, y Bagles, entre los cuales es posible que estuviera el suyo.

Pruebe el ELIBAGLA actual y posteenos el c:\infosat.txt resultante y veremos el resultado.

saludos

ms, 18-09-2008

Carahuevo · Mensaje por **Carahuevo** » 18 Sep 2008, 21:43

Ok. Ya he enviado manualmente a zonavirus@satinfo.es la muestra. A ver si llega correctamente. Acabo de pasar el nuevo Eliblaga y me ha encontrado el virus en el archivo sttray.exe. Antes también lo localizaba en el googletoolbarnotifier.exe que tuve que borrar manualmente. Abajo posteo infosat.txt. También me ocurre que el Elibagla me dice que no tiene permiso para abrir 4 directorios:

c\Windows\registration\CRMlog (16)

c\windows\System32\dmp (16)

c:\Windows\System32\WMI\Rtbackup (16)

c:\Windows\System32\apool\printers (16)

Es esto normal o es el maldito virus haciendo de las suyas?

Thu Sep 18 02:07:36 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

Thu Sep 18 02:08:42 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 18765

Nº Total de Ficheros: 132557

Nº de Ficheros Analizados: 14346

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Sep 18 02:38:51 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

Thu Sep 18 15:08:56 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Sep 18 15:09:04 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Windows\System32\drivers\downld\394932.EXE --> Eliminado Bagle.VR

Nº Total de Directorios: 23328

Nº Total de Ficheros: 134964

Nº de Ficheros Analizados: 17160

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Thu Sep 18 15:22:54 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 2702

Nº Total de Ficheros: 11060

Nº de Ficheros Analizados: 2096

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Sep 18 15:29:01 2008

EliStartPage v16.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Sep 18 15:29:17 2008

EliStartPage v16.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\CyberLink\PowerDVD DX\QT3SUPPORT4.DLL --> Eliminado, ISTBar

C:\Program Files\DellSupport\BrowserPlugins\LICVALIDATE.DLL --> Eliminado, StartPage-CWZ

C:\Program Files\Roxio\VideoCore 9\VCPTRANSANIMATED3D.DLL --> Eliminado, AdClicker.BJ(BHO)

Nº Total de Directorios: 23320

Nº Total de Ficheros: 133940

Nº de Ficheros Analizados: 27657

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Thu Sep 18 15:46:12 2008

EliTriIP v5.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Sep 18 15:46:15 2008

EliTriIP v5.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 23320

Nº Total de Ficheros: 133944

Nº de Ficheros Analizados: 22920

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Sep 18 15:59:08 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Sep 18 15:59:10 2008

EliBagle v11.73 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 23320

Nº Total de Ficheros: 134312

Nº de Ficheros Analizados: 17154

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Sep 18 21:29:56 2008

EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Sep 18 21:30:01 2008

EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Windows\System32\STTRAY.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 23304

Nº Total de Ficheros: 137492

Nº de Ficheros Analizados: 17041

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Mensaje por **lucl** » 18 Sep 2008, 22:33

Intenta acceder a ellos arrancando en modo seguro a ver si puedes abrirlos, no te suenan? Comentanos, saludos

http://www.zonavirus.com/articulos/como ... fallos.asp

Mensaje por **msc hotline sat** » 19 Sep 2008, 09:58

Hoy sí que hemos recibido tu muestra a traves del sistema automatico de zonavirus:

HLDRRR.EXE.Muestra EliBagle v11.73

que por otro lado vemos que ya se controla con la version actual 11.74 que subimos ayer.

Y ademas veo que ya la has utilizado y gracias a ello has eliminado compañeros del mismo:

EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Windows\System32\STTRAY.EXE --> Eliminado Bagle.dldr

si bien no se ha detectado en c:\muestras el que movimos allí, seguro que lo eliminaste manualmente tras enviarnosla.

Como que veo que ya funciona bien el envio de muestras (hoy ya han llegado un monton), voy a eliminar el Tema de la anomalia al respecto

Dinos si tras reiniciar ya no tienes ninguna anomalia, para poder dar por solucionado el Tema

saludos

ms, 19-09-2008

Posible virus me para el Windows Defender (SOLUCIONADO)

Posible virus me para el Windows Defender (SOLUCIONADO)

Re: Posible virus me para el Windows Defender

Re: Posible virus me para el Windows Defender

Re: Posible virus me para el Windows Defender

Re: Posible virus me para el Windows Defender

Re: Posible virus me para el Windows Defender

Re: Posible virus me para el Windows Defender

Re: Posible virus me para el Windows Defender

Re: Posible virus me para el Windows Defender

Re: Posible virus me para el Windows Defender

Re: Posible virus me para el Windows Defender

Re: Posible virus me para el Windows Defender

Re: Posible virus me para el Windows Defender