MI MAQUINA TIENE BAGLE? (TERMINADO)

[neeoo]

Hola como estan todos, antes que nada gracias por crear este foro, que es de mucha utilidad.

Cometi el error de abrir un archivo recibido desde el msn, cosa que nunca hago sea quien sea, lo hice por inercia ni siquiera de curiosidad .

Bueno la cuestion es que ahora mi pc, no me deja entrar a algunas paginas, relativas a antivirus esta por ejemplo, bajar archivos como los que uds ofrecen, le s manda a mi scontactos de msn, lo mismo que me hicieron a mi, mira esta foto , un rar con un archivo adentro, se me reinicia la maquina a veces, no puedo iniciar en modo a prueba de fallos, no tengo el ejecutar , no puedo entrar al simbolo del sistema, no puedo entrar al registro. me desabilita todos los antivirus.

intente pasar el elitrip y el elibagle, que baje de aca, no lo hice de mi pc porque se tilda, y el elistara no lo probe todavia.

Bueno con los primeros no me encontro nada, en el archivo txt satinfo, me decia que la accion que tomo fue habilitar el safemode minimal con red, reinicie y nada, se vuelve a reiniciar cuando quiere entrar al modo de fallos.

Esto es el virus bagle?, lo podre el eliminar con el elistara que fue el que me falto probar? , ya me tiene de los pelos esto, que pasos tengo que seguir ahora?

Muchas gracias a todos

[msc hotline sat]

Varios malwares modifican la clave del safeboot para impedir que se arranque en modo seguro, y asi protegerse, especialmente los que usan rootkit como el bagle, pero no acostumbra a llegar por msn, mas bien será algun otro troyano que hace lo mismo.



Es posible que con el ELISTARA lo controle totalmente o por lo menos heuristicamente y pida muestras para analizar, y en caso contrario, con el SPROCES Veriamos los posibles causantes y le pediriamos muestras para analizar y controlar, pero de momento, como ya nos decía, pruebe el ELISTARA y posteenos el contenido de c:\infosat.txt y obraremos en consecuencia



saludos



ms, 10-10-2008

[neeoo]

Gracias, en unas horas pruebo el elistara porque ayer lo descarge y al parecer me lo bloqueo algun antivirus, porque me sale que no es una aplicacion win 32 valida, hoy lo baje de nuevo y bajo completo, espero que no pase nada nuevo.

Entonces decis que el bagle no puede ser porque no se pasa por msn?, yo lo que acepte fue un archivo rar, esto no tiene nada que ver no? ya el hecho de aceptarlo, implica el contagio?.

Bueno ya baje la otra utilidad que me dijiste, lo unico que deseo de una vez es entrar en modo a prueba de fallos, porque ahora se empieza a reiniciar la maquina, como si apretara reset.

Muchas Gracias de nuevo.

Espero que la proxima que te escriba sean buenas noticias.

Saludos

[flacoroo]

por cualquier cosa bajate esta herramienta [url=http://www.zonavirus.com/descargas/elibagla.asp]Descargar Elibagla[/url] y la ejecutas despues del elistara

[neeoo]

Buenas a todos, esto es lo que pude hacer desppues de ejecutar el elistara, encontro virus, elimino algunos y pude entrar al modo a prueba de fallos, ahi, ejecute los tres elistara, elitrip y el elibagle, no encontraron nada, solo el elistara uno que no pudo borrar,

reinicie, pero volvio el problema, que puedo hacer?

aca dejo lo que hicieron las utilidades.







Nº Total de Directorios: 9774

Nº Total de Ficheros: 74223

Nº de Ficheros Analizados: 9605

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Oct 10 20:54:42 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Oct 10 20:54:49 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9772

Nº Total de Ficheros: 74229

Nº de Ficheros Analizados: 14915

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Oct 10 20:57:50 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



Fri Oct 10 20:57:54 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 2908

Nº Total de Ficheros: 38475

Nº de Ficheros Analizados: 7023

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Oct 10 21:36:14 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



Fri Oct 10 21:36:16 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 10 21:38:29 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



Fri Oct 10 21:38:48 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Sat Oct 11 20:24:09 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\CRYPT] -> C:\WINDOWS\SYSTEM32\CRYPTS.DLL

C:\WINDOWS\SYSTEM32\CRYPTS.DLL --> DownLoader.Crypts Renombrado a .VIR

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Sat Oct 11 20:46:06 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

C:\Archivos de programa\WinAVI Video Converter\SIMPLEEXT.DLL --> Eliminado, AutoRun.K

C:\Documents and Settings\Administrador\Escritorio\Tutorial AOL\Tutorial_JC_\Tutorial[JC]\FLASH PLAYER PRO 3.51.EXE --> Eliminado, Dropper(ConHook)

C:\Documents and Settings\Administrador\Mis documentos\Heber\Programas PC\Truco Megaupload\Tutorial[JC]\FLASH PLAYER PRO 3.51.EXE --> Eliminado, Dropper(ConHook)

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

C:\WINDOWS\system32\CRYPTS.DLL.VIR --> Acceso Denegado, DownLoader.Crypts (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart



Nº Total de Directorios: 9781

Nº Total de Ficheros: 72096

Nº de Ficheros Analizados: 16765

Nº de Ficheros Infectados: 8

Nº de Ficheros Limpiados: 7



Sat Oct 11 20:57:27 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Oct 11 20:58:03 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CRYPTS.DLL.VIR.VIR --> Eliminado, DownLoader.Crypts



Nº Total de Directorios: 9774

Nº Total de Ficheros: 71985

Nº de Ficheros Analizados: 16757

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Sat Oct 11 21:05:14 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Archivos de programa\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

D:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

D:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart



Nº Total de Directorios: 2908

Nº Total de Ficheros: 38476

Nº de Ficheros Analizados: 19349

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Sat Oct 11 21:13:36 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Oct 11 21:13:38 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9774

Nº Total de Ficheros: 71986

Nº de Ficheros Analizados: 9620

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 11 21:20:43 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 2908

Nº Total de Ficheros: 38473

Nº de Ficheros Analizados: 7020

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 11 21:29:16 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sat Oct 11 21:29:19 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9774

Nº Total de Ficheros: 71986

Nº de Ficheros Analizados: 14616

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 11 21:35:28 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 2908

Nº Total de Ficheros: 38473

Nº de Ficheros Analizados: 10214

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 11 21:38:47 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Oct 11 21:38:59 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9774

Nº Total de Ficheros: 71985

Nº de Ficheros Analizados: 16756

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 11 21:41:54 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 2908

Nº Total de Ficheros: 38473

Nº de Ficheros Analizados: 19346

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues ya parece limpio, al menos de lo conocido por la 17.15 del ELISTARA, pero ya hay la 17.16...



Si persiste el problema como dices, descarga la nueva, la pruebas y nos comentas el resultado



Si con ello no fuera suficiente, lanza este AV ONLINE y nos posteas en informe resultante, gracias



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)





saludos



ms, 11-10-2008

[neeoo]

Hola aca estoy de nuevo, revise mi maquina con el antivirus online y esto fue lo que me salio, no se si lo tengo que postear asi :

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

lunes, 13 de octubre de 2008 11:18:35

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 12/10/2008

Registros en la base antivirus: 1168827

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\

G:\

H:\

I:\



Estadísticas:

Número de objeros analizados: 121232

Virus encontrados: 10

Objetos infectados: 21 / 0

Objetos sospechosos: 0

Duración del análisis: 02:42:31



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\Eset\infected\0YI1CTDA.NQF Infectados: Worm.Win32.Perlovga.a saltado

C:\Archivos de programa\Eset\infected\54RRMCCA.NQF Infectados: Backdoor.Win32.Small.lo saltado

C:\Archivos de programa\Eset\infected\FII434CA.NQF Infectados: Worm.Win32.Perlovga.f saltado

C:\Archivos de programa\Eset\infected\MVM05WBA.NQF Infectados: Trojan-Dropper.Win32.Small.apl saltado

C:\Archivos de programa\Eset\infected\XMQ35ZDA.NQF/data0001 Infectados: Trojan.Win32.DNSChanger.dxc saltado

C:\Archivos de programa\Eset\infected\XMQ35ZDA.NQF NSIS: infectado - 1 saltado

C:\Archivos de programa\Eset\infected\XMQ35ZDA.NQF PE-Crypt.XorPE: infectado - 1 saltado

C:\Archivos de programa\Eset\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\master.mdf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\mastlog.ldf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\model.mdf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\modellog.ldf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\msdbdata.mdf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\msdblog.ldf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\northwnd.ldf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\northwnd.mdf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\PruebasDB_Data.MDF Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\PruebasDB_Log.LDF Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\pubs.mdf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\pubs_log.ldf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\tempdb.mdf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\templog.ldf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\LOG\ERRORLOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\O06S8IQ7\datalog[1].txt Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\O06S8IQ7\EvilS2-p[1].exe Infectados: Trojan.Win32.Agent.agfu saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\SF93AZA8\datalog[1].txt Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\AOL\UserProfiles\All Users\cls\common.cls Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\DVD-Foto09.zip/DVD-Foto0009.JPEG_www.myspace.com Infectados: Trojan.Win32.Qhost.kmr saltado

C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\DVD-Foto09.zip ZIP: infectado - 1 saltado

C:\Documents and Settings\Administrador\Mis documentos\r\limpiar\STAR.exe Infectados: Trojan-Downloader.Win32.IstBar.xr saltado

C:\Documents and Settings\Administrador\Mis documentos\r.rar/limpiar/STAR.uno Infectados: Trojan-Downloader.Win32.IstBar.xr saltado

C:\Documents and Settings\Administrador\Mis documentos\r.rar RAR: infectado - 1 saltado

C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado

C:\Downloads\elistara.exe Infectados: Trojan-Downloader.Win32.IstBar.rj saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edbtmp.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\symldsv.exe Infectados: Trojan.Win32.Qhost.kmr saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\DVC-IMAGEN20.zip/DVC-IMAGEN0020.JPEG_www.myspace.com Infectados: Trojan.Win32.Agent.agfu saltado

C:\WINDOWS\Temp\DVC-IMAGEN20.zip ZIP: infectado - 1 saltado

C:\WINDOWS\Temp\MVC-Photo009.zip/MVC-Photo09.JPEG_www.facebook.com Infectados: Trojan.Win32.Agent.agfu saltado

C:\WINDOWS\Temp\MVC-Photo009.zip ZIP: infectado - 1 saltado

C:\WINDOWS\Temp\Perflib_Perfdata_3ac.dat Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\xampp\apache\logs\access.log Object is locked saltado

C:\xampp\apache\logs\error.log Object is locked saltado

C:\xampp\apache\logs\ssl_request.log Object is locked saltado

C:\xampp\mysql\data\desktop.err Object is locked saltado

D:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\Casa de JuegosSQL.ldf Object is locked saltado

D:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\Casa de JuegosSQL.mdf Object is locked saltado

D:\Documents and Settings\Hernán\Escritorio\back up D\mis documentos\Mis archivos recibidos\Visual basic 6.0\OPGameZ -bio.mht/[From <Guardado por Microsoft Internet Explorer 7>][Date Sat, 27 Oct 2007 15:34:14 -0300]/UNNAMED Infectados: Trojan-Clicker.HTML.IFrame.es saltado

D:\Documents and Settings\Hernán\Escritorio\back up D\mis documentos\Mis archivos recibidos\Visual basic 6.0\OPGameZ -bio.mht Mail: infectado - 1 saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



Análisis completado.



-------------------------------------------------------------------------------------------------------



Saludos espero su respuesta, muchisimas gracias.

[msc hotline sat]

No tiene Bagle, pero tiene otras hierbas...



Pues aparte de todos estos que tienes fuera de servicio en carpeta de cuarentena del NOD32:



C:\Archivos de programa\Eset\infected\0YI1CTDA.NQF Infectados: Worm.Win32.Perlovga.a saltado

C:\Archivos de programa\Eset\infected\54RRMCCA.NQF Infectados: Backdoor.Win32.Small.lo saltado

C:\Archivos de programa\Eset\infected\FII434CA.NQF Infectados: Worm.Win32.Perlovga.f saltado

C:\Archivos de programa\Eset\infected\MVM05WBA.NQF Infectados: Trojan-Dropper.Win32.Small.apl saltado

C:\Archivos de programa\Eset\infected\XMQ35ZDA.NQF/data0001 Infectados: Trojan.Win32.DNSChanger.dxc saltado

C:\Archivos de programa\Eset\infected\XMQ35ZDA.NQF NSIS: infectado - 1 saltado

C:\Archivos de programa\Eset\infected\XMQ35ZDA.NQF PE-Crypt.XorPE: infectado - 1 saltado





aparecen estos que estan vivitos y coleando:



C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\O06S8IQ7\EvilS2-p[1].exe Infectados: Trojan.Win32.Agent.agfu saltado



C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\DVD-Foto09.zip/DVD-Foto0009.JPEG_www.myspace.com Infectados: Trojan.Win32.Qhost.kmr saltado







y este que posiblemente sea un falso positivo, pero elimina este STAR.EXE por si acaso:



C:\Documents and Settings\Administrador\Mis documentos\r\limpiar\STAR.exe Infectados: Trojan-Downloader.Win32.IstBar.xr saltado





igual que este falso positivo ya conocido, no hacer caso: C:\Downloads\elistara.exe Infectados: Trojan-Downloader.Win32.IstBar.rj saltado



y lo mismo con este otro R.RAR, eliminalo por si acaso.



C:\Documents and Settings\Administrador\Mis documentos\r.rar RAR: infectado - 1 saltado





y luego vemos mas infectados:



C:\WINDOWS\system32\symldsv.exe Infectados: Trojan.Win32.Qhost.kmr saltado

C:\WINDOWS\Temp\DVC-IMAGEN20.zip/DVC-IMAGEN0020.JPEG_www.myspace.com Infectados: Trojan.Win32.Agent.agfu saltado

C:\WINDOWS\Temp\MVC-Photo009.zip/MVC-Photo09.JPEG_www.facebook.com Infectados: Trojan.Win32.Agent.agfu saltado



y este ultimo un poco raro:



D:\Documents and Settings\Hernán\Escritorio\back up D\mis documentos\Mis archivos recibidos\Visual basic 6.0\OPGameZ -bio.mht





Pues renombra los siguientes ficheros a extension .VIR y envianoslos para analizar:







C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\O06S8IQ7\EvilS2-p[1].exe



C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\DVD-Foto09.zip



C:\WINDOWS\system32\symldsv.exe



C:\WINDOWS\Temp\DVC-IMAGEN20.zip/DVC-IMAGEN0020.JPEG_www.myspace.com



C:\WINDOWS\Temp\MVC-Photo009.zip/MVC-Photo09.JPEG_www.facebook.com



D:\Documents and Settings\Hernán\Escritorio\back up D\mis documentos\Mis archivos recibidos\Visual basic 6.0\OPGameZ -bio.mht









[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 12-10-2008







NOTA: Fijarse en la picaresca de los nombres de algunos ficheros, que simulan ser links a URL pero realmente son ficheros .com:



DVC-IMAGEN0020.JPEG_www.myspace.com



MVC-Photo09.JPEG_www.facebook.com



lo hacen para despistar a los usuarios y que pulsen encima... con lo que ejecutan el fichero virico !!! ms.

[neeoo]

Hola gracias por responder, mira con respecto a los que dicen star son las utilidades que les cambie el nombre para mandarmelas por mail, y los archivos comprimidos como el r.rar, tienen el elistara tambien.



Ahora tengo un pequeño problema, no puedo entrar a buscar los archivos para madartelos, porque no me deja. Si copio y pego el link me dice que no tengo permisos, y si entro a Windows no tengo la carpeta Temp a la vista, deben estar ocultos, pero ni siquiera tengo la opcion habilitada para desmarcar que no se oculten los archivos y carpetas ocultos.

Ayuda!.



Esos virus no hay manera de quitarlos o son variantes de conocidos?

La primera vez que le pase el elistara encontre los virus y pude iniciar en modo seguro, pero ahora volvio y tengo todos los problemas de antes. y el elistara ya no me lo reconoce.

Gracias espero su respuesta.

[lucl]

Perdon pero no me quedo clara una cosa, no puedes arrancar el pc en modo seguro? Saludos

[neeoo]

Hola como estas?, no no puedo entrar al modo a prueba de fallos, lo pude hacer una vez cuando me encontro los virus, el elistara, pero ahora lo paso, la version nuevo tambien y no encuentran nada y ya no puedo entrar al modo a prueba de fallos y todo lo demas que puse arriba.

Gracias espero su ayuda

[msc hotline sat]

Tras renombrar a extension .VIR todos los ficheros indicados, luego prueba el ELISTARA actual y acto seguido mira de reiniciar en modo seguro.



Si no puedes es que habrá, ademas de los indicados, otra variante no controlada, lo cual es posible dadas las mas de 100 nuevas variantes diarias...



Pero no adelantemos malos acontecimientos, prueba lo indicado y si ya puedes arrancar en modo seguro, prosigue con lo que estabas haciendo.



saludos



ms, 13-10-2008

[neeoo]

como te dije mas arriba no me deja entrar a las carpetas con los archivos que me indicaste que renombre, y otros estan ocultos, y coomo tengo todo deshabilitado, no puedo poner que muestre los archivos y carpetas ocultos.

Estoy hasta las manos.

Espero su respuesta

[flacoroo]

bajate los programitas Elistara, elitriip ...despues trata de entrar pero en modo Ms-dos que casi es lo mismo que entrar a modo seguro, cuando entres con F8 en el menu que sale buscas la opcion entrar con simbolo del sistema y buscas la ruta donde guardastes los programas en cuestion(de preferencia ponlos en C: para que no te cueste mucho) y copias todo el nombre del archivo con su extension y le das ejecutar y que haga su trabajo......

[lucl]

Prueba elirestr tambien y nos dices si mejora algo la cosa, saludos





http://www.zonavirus.com/descargas/EliRestr.vbs

[neeoo]

[quote]


Prueba elirestr tambien y nos dices si mejora algo la cosa, saludos


[/quote]

Si, pasa que cuando lo quiero bajar de internet, me lo baja pero lo elimina. Ahora voy a intentar bajarlo de otra pc y mandarme por correo, sino no se que mas.


[quote]


bajate los programitas Elistara, elitriip ...despues trata de entrar pero en modo Ms-dos que casi es lo mismo que entrar a modo seguro, cuando entres con F8 en el menu que sale buscas la opcion entrar con simbolo del sistema y buscas la ruta donde guardastes los programas en cuestion(de preferencia ponlos en C: para que no te cueste mucho) y copias todo el nombre del archivo con su extension y le das ejecutar y que haga su trabajo......
[/quote]

Vuelvo a repetir lo mismo, ya pase todas las versiones hasta el dia de ayer del elistara, elistrip, elibagla y no me encuentra nada, por ende sigo sin poder entrar al modo a prueba de fallos, al simbolo del sistema, no tengo el "ejecutar ", al registro de windows, y otras cosas como opciones de archivos y carpetas, y algunas mas que no recuerdo. Pero asi de complicado estoy.

Tambien pregunte como hago para encontrar las muestras si tengo bloqueada el acceso a esas carpetas donde estan los archivos que me indicaron que envie.

A Y U D A.

Muchas gracias de nuevo.

[msc hotline sat]

Está rondando por ahí un Bagle descontrolado... con su RootKit correspondiente.



pero convendría poder arrancar en modo seguro con funciones de red para lanzar el AV ONLINE y postearnos el informe:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.



(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)



Para ello, prueba lanzar desde una ventana al DOS, esto



REGEDIT DELSAFE.REG <enter>



y luego lanzar el ELIBAGLA, y acto seguido reiniciar en modo seguro con funciones de red y lanzar el AV ONLINE indicado y postearnos el informe resultante





Este DELSAFE.REG lo puedes hacer copiando y pegando el script entre lineas y guardandolo como DELSAFE.REG :





_______



REGEDIT4



[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]



_______













saludos



ms, 14-10-2008

[neeoo]

Hola, gracias.

-Voy a intentar con el .reg que me pasaste pero, si mal no recuerdo y como mencione arriba, NO puedo modificar el REGISTRO, asi que al darle doble clic me dice no tengo permisos de administrador para hacerlo,

y con respecto a

--la ventana de dos, si es el simbolo del sistema a lo que te referis, tampoco puedo, cuando entro, me dice que el administrador lo deshabilito y se cierra.

Bueno intento e intento pero espero que pueda lograr algo.

A que se debe que una sola vez alla podido iniciar en modo seguro (cuando me encontro los virus y los elimino con el elistara) y ahora no puedo hacerlo de nuevo?.

AYUDA.

GRacias

[lucl]

Probaste a pasar el online que te indico Msc? ese te encuentra lo que tengas te lo aseguro y podremos acabar con el. Es muy lento pero merece la pena, hazlo y nos pegas el log, saludos

[neeoo]

[quote="neeoo"]Buenas a todos, esto es lo que pude hacer desppues de ejecutar el elistara, encontro virus, elimino algunos y pude entrar al modo a prueba de fallos, ahi, ejecute los tres elistara, elitrip y el elibagle, no encontraron nada, solo el elistara uno que no pudo borrar,

reinicie, pero volvio el problema, que puedo hacer?

aca dejo lo que hicieron las utilidades.







Nº Total de Directorios: 9774

Nº Total de Ficheros: 74223

Nº de Ficheros Analizados: 9605

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Oct 10 20:54:42 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Fri Oct 10 20:54:49 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9772

Nº Total de Ficheros: 74229

Nº de Ficheros Analizados: 14915

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Oct 10 20:57:50 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



Fri Oct 10 20:57:54 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 2908

Nº Total de Ficheros: 38475

Nº de Ficheros Analizados: 7023

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Oct 10 21:36:14 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



Fri Oct 10 21:36:16 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 10 21:38:29 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



Fri Oct 10 21:38:48 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Sat Oct 11 20:24:09 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\CRYPT] -> C:\WINDOWS\SYSTEM32\CRYPTS.DLL

C:\WINDOWS\SYSTEM32\CRYPTS.DLL --> DownLoader.Crypts Renombrado a .VIR

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Sat Oct 11 20:46:06 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

C:\Archivos de programa\WinAVI Video Converter\SIMPLEEXT.DLL --> Eliminado, AutoRun.K

C:\Documents and Settings\Administrador\Escritorio\Tutorial AOL\Tutorial_JC_\Tutorial[JC]\FLASH PLAYER PRO 3.51.EXE --> Eliminado, Dropper(ConHook)

C:\Documents and Settings\Administrador\Mis documentos\Heber\Programas PC\Truco Megaupload\Tutorial[JC]\FLASH PLAYER PRO 3.51.EXE --> Eliminado, Dropper(ConHook)

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

C:\WINDOWS\system32\CRYPTS.DLL.VIR --> Acceso Denegado, DownLoader.Crypts (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart



Nº Total de Directorios: 9781

Nº Total de Ficheros: 72096

Nº de Ficheros Analizados: 16765

Nº de Ficheros Infectados: 8

Nº de Ficheros Limpiados: 7



Sat Oct 11 20:57:27 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Oct 11 20:58:03 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CRYPTS.DLL.VIR.VIR --> Eliminado, DownLoader.Crypts



Nº Total de Directorios: 9774

Nº Total de Ficheros: 71985

Nº de Ficheros Analizados: 16757

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Sat Oct 11 21:05:14 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Archivos de programa\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

D:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart

D:\WINDOWS\system32\Tools\RESTART.EXE --> Eliminado, Restart



Nº Total de Directorios: 2908

Nº Total de Ficheros: 38476

Nº de Ficheros Analizados: 19349

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Sat Oct 11 21:13:36 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Oct 11 21:13:38 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9774

Nº Total de Ficheros: 71986

Nº de Ficheros Analizados: 9620

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 11 21:20:43 2008

EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 2908

Nº Total de Ficheros: 38473

Nº de Ficheros Analizados: 7020

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 11 21:29:16 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sat Oct 11 21:29:19 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9774

Nº Total de Ficheros: 71986

Nº de Ficheros Analizados: 14616

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 11 21:35:28 2008

EliTriIP v5.13 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 2908

Nº Total de Ficheros: 38473

Nº de Ficheros Analizados: 10214

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 11 21:38:47 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Oct 11 21:38:59 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9774

Nº Total de Ficheros: 71985

Nº de Ficheros Analizados: 16756

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 11 21:41:54 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 2908

Nº Total de Ficheros: 38473

Nº de Ficheros Analizados: 19346

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/quote]

[quote]


Probaste a pasar el online que te indico Msc? ese te encuentra lo que tengas te lo aseguro y podremos acabar con el. Es muy lento pero merece la pena, hazlo y nos pegas el log, saludos
[/quote]

YA pase el antivirus online y lo postee fue una de las cosas que hice en el principio, ahi esta el resultado.

Gracias

[msc hotline sat]

Este que dices que se resistió a ser eliminado, se logró en el siguiente reinicio, si es este al que te refieres:


[quote]EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CRYPTS.DLL.VIR.VIR --> Eliminado, DownLoader.Crypts[/quote]

y si ya puedes arrancar en modo seguro, entonces arranca en MODO SEGURO CON FUNCIONES DE RED y lanza de nuevo el AV ONLINE, para ver AHORA Y EN MODO SEGURO lo que detecta y nos posteas el informe resultante ACTUAL:





[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.



(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)



Parece que existen nuevos Bagle, con Rootkits no controlados, y nos ocultan su presencia si no arrancamos siempre en modo seguro hasta que acabemos con ellos...



Sobre todo, pasa el AV ONLINE indicado arrancando en modo seguro con funciones de red.



saludos



ms, 15-10-2008





NOTA : Y si ya has podido arrancar en modo seguro, entonces no hace falta lo del REGEDIT DELSAFE.REG , pero si en dicho modo seguro no puedes editar el Registro, dínoslo, pues no es lógico que si las claves del SafeBoot se mantienen restauradas, no lo esté la del REGEDIT... ??? ms.

[neeoo]

Hola No me funciono lo el .REG, no me deja no tengo permisos de administrador.

Repito pase todas las versiones del elistara y el elibagla y nada, NO PUEDO INICIAR EN MODO A PRUEBA DE FALLOS.

Espero ser claro, porque me hablan de iniciar asi y les digo que no puedo, las utilidades no me encuentran nada.

Espero sus respuestas mucha gracias.

[lucl]

Bien veamos entonces trata de ejecuter sprocess y nos pegas el log que te dejara en C sproclog. Simplemente lo ejecutas, te saldra un cuadro con los procesos, le das a salir y nos pegas el log. Miraremos las claves que tienes y a ver si hay suerte y encontramos lo que esta fastidiando tanto, saludos





http://www.zonavirus.com/descargas/sproces.asp

[msc hotline sat]

En qué quedamos ???



´Decía [b]"Buenas a todos, esto es lo que pude hacer desppues de ejecutar el elistara, encontro virus, elimino algunos y[u] pude entrar al modo a prueba de fallos[/u]"[/b]



Pues haga lo mismo pero seleccione hacerlo en modo seguro con funciones de red y lance el AV ONLINE indicado, y nos postea el informe actual.



Es lo que indicamos en el Tema de la eliminacion de "LOS BAGLES RESISTENTES", debe pasarse el ELIBAGLA para restaurar las claves y reiniciar acto seguido (sin dilacion) en modo seguro, que entonces se podrá, y asi arrancar sin el RootKit y poder ver y acceder a claves, procesos y ficheros que de otro modo oculta.



Y lo mismo en su caso, pues sea Bagle o lo que sea, un malware vuelve a modificar las claves del SafeBoot y de la edicion del Registro, lo cual no solo hace el Bagle, aunque este fuera el primero.



Por ello le hago pasar el AV ONLINE, pues puede que no sea el RootKit del Bagle, sino de otro, y asi lo cazaremos.



saludos



ms, 15-10-2008

[neeoo]

[quote="msc hotline sat"]En qué quedamos ???



´Decía [b]"Buenas a todos, esto es lo que pude hacer desppues de ejecutar el elistara, encontro virus, elimino algunos y[u] pude entrar al modo a prueba de fallos[/u]"[/b]



Pues haga lo mismo pero seleccione hacerlo en modo seguro con funciones de red y lance el AV ONLINE indicado, y nos postea el informe actual.



Es lo que indicamos en el Tema de la eliminacion de "LOS BAGLES RESISTENTES", debe pasarse el ELIBAGLA para restaurar las claves y reiniciar acto seguido (sin dilacion) en modo seguro, que entonces se podrá, y asi arrancar sin el RootKit y poder ver y acceder a claves, procesos y ficheros que de otro modo oculta.



Y lo mismo en su caso, pues sea Bagle o lo que sea, un malware vuelve a modificar las claves del SafeBoot y de la edicion del Registro, lo cual no solo hace el Bagle, aunque este fuera el primero.



Por ello le hago pasar el AV ONLINE, pues puede que no sea el RootKit del Bagle, sino de otro, y asi lo cazaremos.



saludos



ms, 15-10-2008[/quote]

Si hice todo lo que me dijeron, hace 4 dias o no se cuanto, pase el elistara que fue el que me falto probar de los 3 ( elitrip, elibagla y elistara), fue la PRIMERA VEZ que lo pase ( 3 versiones anteriores a la vigente, igual pase las siguientes) y ahi encontro algunos virus y los elimino, pude reiniciar en modo seguro pase las 3 utilidades de nuevo, creo que una utilidad encontro algo, y despues pase el AVonline y publique el analisis.

Cuando reinicie, volvio a funcionar mal todo, y tampoco pude volver a entrar en modo a prueba de fallos. Por eso estoy repitiendo: que YA NINGUNA utilidad me encuentra nada. y por ende sigo sin volver a poder entrar en modo seguro.

Muchas gracias.

[msc hotline sat]

Nuestras utilidades informan de los ficheros que detectan y mueven, eliminan o renombran, pero no de las claves de registro, que restauran igualmente si las encuentran modificadas, y es que muchos antivirus y usuarios borran ficheros viricos sin restaurar sus claves, y siempre queda cuando menos basura, que ya se restaura automaticamente sin informar.



Y aqui nos olemos que hay bagle o gato encerrado, y que aun sin verlo, detectarlo ni controlarlo, nos está modificando las claves típicas, como son la del safeboot y la del regedit, y pposiblemente tambien la del Administrtador de Tareas, lo cual puedes ver si accedes a él pulsando CTRL_ALT_SUP, y si no, ya sabes porqué es... Dinoslo y ello nos puede dar mas ideas, pues no es propio del Bagle mas que la del SafeBoot, en cambio otros como el TrojanAgent AUE o Buzus las toquetean todas, asi que ademas del Bagle probablemente has tenido y tienes alguna variante de alguno de estos otros... Por cierto, usas MSN ??? porque acosumbran estos a venir por messenger y tambien se propagan por pendrive, a lo cual no hemos visto ningun AUTORUN.INF por aqui, pero...



No sabemos qué tienes, pero algo te vuelve a regenerar las modificaciones de las claves, y solo restaurandolas y reiniciando en modo seguro con funciones de red podrás lanzar el AV ONLINE en dicho modo (no vale en modo normal), asi que haz lo que hiciste para lograrlo, que es lo que decimos para los bagles resistentes, y lanza dicho AV ONLINE, y tras ello el informe resultante, es lo que nos hace falta. Y no te preocupes porque no te detecte nada el ELIbagla o el ELISTARA , las claves modificadas las restauraran igualmente , acto seguido reinicia en modo seguro con funciones de red !!!



saludos



ms, 15-10-2008

[neeoo]

Si con respecto a tu pregunta, no puedo hacer nada, como dije antes, agregale eso tambien no puedo acceder al adminstrador de tareas, con el [ctrl alt spr], que significa esto que no es bagle?tambien uso el msn, es mas el virus y todos los problemas fue, como dije en mi primer msj, pro recibir un adjunto por msn y lo abri y todo( lo hice inconcientemente, se que no debe hacerseesto).

Que puede ser entonces?

gracias

[msc hotline sat]

Otros virus han seguido el camino del bagle pero corregido y aumentado, deshabilitando el acceso a la edicion de registro y al administrador de tareas



Lo basico es conseguir arrancar en modo seguro con funciones de red, para pasar el AV ONLINE y postearnos el informa resultante.



Y ya lo conseguiste anteriormente, repitelo please... :wink: (ya sé que hasta ahora no lo has conseguido, pero persiste, que quien persevera, logra)





saludos



ms, 15-12-2008

[msc hotline sat]

Y como que no veo ningun informe del SPROCES, y es posible que nos ayudara, prueba dicha utilidad y posteanos el conteniudo del SPROCLOG.TXT resultante:




[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 15-10-2008

[neeoo]

Hola estoy a punto de formatear y mandar todo a la mierd... no por uds que me quieren ayudar sino por el momento de mierd q toy pasando en mi vida.

Bueno volvamos a lo nuestro.

Tengo un problema intente e intente , iniciar en modo seguro pero ahora me sale la famosa e insaltable pantalla azul donde el sistema informa que hbo un error pone la direccion de memoria y dice que si es la primera vez que ve esta pantalla y bla bla, ya saben cual es no?. esto ocurre cuando elijo modo seguro con todas sus variantes y empieza a cargar los archivos y cuando dice esc load no se que cosa sigue y salta a esta pantalla azul.

Bueno esto lo intente despues de pasar las nuevas versiones de las utilidades y lo unico que tengo ahora para mostrar es lo que salio con el sproces

aca va:



Wed Oct 15 21:00:47 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\LEXBCES.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\LEXPPS.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\AVIRA PREMIUM SECURITY SUITE\AVGUARD.EXE

C:\ARCHIVOS DE PROGRAMA\AVIRA\AVIRA PREMIUM SECURITY SUITE\AVFWSVC.EXE

C:\ARCHIV~1\ARCHIV~1\AOL\ACS\ACSD.EXE

C:\XAMPP\APACHE\BIN\APACHE.EXE

C:\ARCHIVOS DE PROGRAMA\IVT CORPORATION\BLUESOLEIL\BTNTSERVICE.EXE

C:\XAMPP\XAMPP\FILEZILLAFTP\FILEZILLASERVER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LIGHTSCRIBE\LSSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIV~1\MI6841~1\MSSQL\BINN\SQLSERVR.EXE

C:\XAMPP\MYSQL\BIN\MYSQLD-NT.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\XAMPP\APACHE\BIN\APACHE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\WANMPSVC.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\WINDOWS\SYSTEM32\USERINIT.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AOL\1222751955\EE\AOLSOFTWARE.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS LITE\DAEMON.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\UPDATE\GOOGLEUPDATE.EXE

C:\ARCHIVOS DE PROGRAMA\AMERICA ONLINE 9.0\AOLTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\AOL COMPANION\COMPANION.EXE

C:\ARCHIVOS DE PROGRAMA\IVT CORPORATION\BLUESOLEIL\BLUESOLEIL.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\GOOGLE\UPDATE\GOOGLEUPDATE.EXE

C:\ARCHIVOS DE PROGRAMA\ORBITDOWNLOADER\ORBITDM.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\80\TOOLS\BINN\SQLMANGR.EXE

C:\XAMPP\XAMPP\MYSQL\BIN\WINMYSQLADMIN.EXE

C:\ARCHIVOS DE PROGRAMA\ORBITDOWNLOADER\ORBITNET.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Archivos de programa\Orbitdownloader\GrabPro.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [HostManager] C:\Archivos de programa\Archivos comunes\AOL\1222751955\ee\AOLSoftware.exe

O4 - HKLM\..\Run: [Symantec Drive SecMon] symldsv.exe

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\Avira Premium Security Suite\avgnt.exe" /min

O4 - Startup: desktop.ini

O4 - Startup: WinMySQLadmin.lnk

O4 - Global Startup: America Online 9.0 Tray Icon.lnk

O4 - Global Startup: AOL Companion.lnk

O4 - Global Startup: BlueSoleil.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Orbit.lnk

O4 - Global Startup: Service Manager.lnk

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.codificado.tv/nsvplayx_vp3_mp3.cab

O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} - Microsoft AntiMalware ShellExecuteHook - C:\ARCHIV~1\WIFD1F~1\MpShHook.dll

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL

Activada Restricción del Administador de Tareas.(DisableTaskMgr)

Activada Restricción del Inicio/Ejecutar.(NoRun)

Activada Restricción del COMMAND.COM (disableCMD)



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Archivos de programa\Avira\Avira Premium Security Suite\avfwsvc.exe

O23 - Service: Avira Premium Security Suite Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\Avira Premium Security Suite\sched.exe

O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\Avira Premium Security Suite\avguard.exe

O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Archivos de programa\Avira\Avira Premium Security Suite\AVWEBGRD.EXE

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\ARCHIV~1\ARCHIV~1\AOL\ACS\acsd.exe

O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe

O23 - Service: atksgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atksgt.sys

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\XAMPP\xampp\FileZillaFTP\FileZillaServer.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: lirsgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lirsgt.sys

O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe --defaults-file=c:\xampp\mysql\bin\my.cnf (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\XAMPP\xampp\service.exe (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: AvFw Packet Filter Miniport (avfwim) - Avira GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\avfwim.sys

O23 - Service: avgntflt - Avira GmbH - C:\Archivos de programa\Avira\Avira Premium Security Suite\avgntflt.sys

O23 - Service: Bluetooth Audio Service (BlueletAudio) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\blueletaudio.sys

O23 - Service: Bluetooth PAN Network Adapter (BT) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btnetdrv.sys

O23 - Service: Mobiola Web Camera driver (BTCAMDRV) - Windows (R) 2000 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\BTCamDrv.sys

O23 - Service: Bluetooth USB For Bluetooth Service (Btcsrusb) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\btcusb.sys

O23 - Service: Bluetooth HID Enumerator (BTHidEnum) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\vbtenum.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtnicxp.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: SASENUM - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Virtual Serial port driver (VComm) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\VComm.sys

O23 - Service: Bluetooth VComm Manager Service (VcommMgr) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\VcommMgr.sys

O23 - Service: WAN Miniport (ATW) (wanatw) - America Online, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\wanatw4.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe



41 Servicios.

21 de Carga Automatica.

18 de Carga Manual.

2 Deshabilitados.





Bueno eso es todo espero que sirva para algo.

Muchas gracias.

Saludos