Hola,
Esto es el error que se me produce al iniciar el ordenador: mensaje de Windows Defender: "no se pudo inicializar la aplicación 0x800106ba. Un problema hizo que se detuviera el servicio de este programa",
He probado con la trilogía que indicabais en modo seguro, y me ha eliminado algunos virus más, ya que ha podido acceder a más directorios, pero se sigue produciendo el mismo error.
He anexado el fichero c:\Infosat.txt
Muchas gracias.
Error en Windows Defender
Error en Windows Defender
- Adjuntos
-
- InfoSat.txt
- (4.41 KiB) Descargado 60 veces
Re: Error en Windows Defender
Debes de seleccionar el contenido de infosat.txt copiar y luego pegarlo aqui en el foro, y no adjuntar.
Saludos.
Saludos.
Reglas para estar aunque sea un 40% mas seguro en internet: "navegar con usuario limitado, tener 1 antispyware, 1 cortafuegos (por hardware), 1 antivirus,1 IDS y 1 HIPS en la pc actualizados, realizar un escaneo semanalmente con 7 antivirus online, usar site advisor, informarse diariamente de los temas de seguridad informatica, deshabilitar algunos servicios innecesarios de windows xp, analizar los archivos con virus total antes de abrirlos, utilizar algunas herramientas antimalware y antirootkit gratuitas para escaneo semanalmente, tener un poco de paranoia al navegar por internet (no confiar casi en nadie), utilizar un navegador que no tenga muchos agujeros de seguridad, hacer una copia de seguridad de los datos regularmente, tener actualizados todos los softwares en la pc ademas del S.O., no dar datos privados al navegar, utilizar una fuerte y compleja contraseña para todos los usuarios en la pc, cambiar las contraseñas cada poco tiempo, utilizar elipen, etc., etc." .
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Error en Windows Defender
Sí, como indica Claudia se debe postear con un copiar y pegar, pero sin que sirva de presedente, lo hago en este caso porque veo un Bagle resistente pululando por ahí...:
Fijate que en el ultimo informe del ELIBAGLA resulta:
Como que utiliza RootKit, si no lo controlamos, y no permitiendo arrancar en modo seguro, se resiste...
envianos dicho fichero como muetsra para analizar:
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.85
y tras analizarlo, implementaremos su control y eliminación en nueva versión del ELIBAGLA, de lo cual informaremos
saludos
ms, 19-10-2008
Sat Oct 18 00:03:56 2008
EliBagle v11.85 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.85
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
Sat Oct 18 00:05:43 2008
EliStartPage v17.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado
Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"
"Debugger"="NULL1"
Sat Oct 18 00:06:37 2008
EliTriIP v5.14 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
Sat Oct 18 00:09:12 2008
EliStartPage v17.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"
"Debugger"="NULL1"
Eliminados Ficheros Temporales del IE
Sun Oct 19 12:15:53 2008
EliBagle v11.85 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Sun Oct 19 12:15:58 2008
EliBagle v11.85 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 21028
Nº Total de Ficheros: 155636
Nº de Ficheros Analizados: 19268
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Sun Oct 19 12:26:25 2008
EliStartPage v17.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"
"Debugger"="NULL1"
Eliminados Ficheros Temporales del IE
Sun Oct 19 12:26:44 2008
EliStartPage v17.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular
C:\Program Files\LogMeIn\x86\LMIINIT.DLL --> Eliminado, RemoteAdmin(lmiinit)
C:\Program Files\LogMeIn\x86\update\X86__LMIINIT.DLL --> Eliminado, RemoteAdmin(lmiinit)
C:\Program Files\LogMeIn\x86\update\4-00-680.bak\x86\LMIINIT.DLL --> Eliminado, RemoteAdmin(lmiinit)
C:\Users\administrador\Downloads\antivir\ANTIVIR_WORKSTATION_WINU_EN_H.EXE --> Eliminado, Frauder.KG
C:\Windows\Installer\{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}\program files\VistaCodecPack\Tools\HDDVD.EXE --> Eliminado, QuickBatch
C:\Windows\Installer\{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}\program files\VistaCodecPack\Tools\MPEG.EXE --> Eliminado, QuickBatch
C:\Windows\System32\LMIINIT.DLL --> Eliminado, RemoteAdmin(lmiinit)
C:\Windows\System32\drivers\SPTD.SYS --> Eliminado, RootKit(SPTD)
Nº Total de Directorios: 21033
Nº Total de Ficheros: 155627
Nº de Ficheros Analizados: 43612
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados: 9
Sun Oct 19 12:42:44 2008
EliTriIP v5.14 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
Sun Oct 19 12:42:46 2008
EliTriIP v5.14 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 21033
Nº Total de Ficheros: 155618
Nº de Ficheros Analizados: 42864
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Fijate que en el ultimo informe del ELIBAGLA resulta:
De entrada indicamos:C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.85
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Pues empieza por ahí, ya que parece que se trata de una variante no controlada (de las mas de mil del Bagle que ya conocemos !)Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.85
Como que utiliza RootKit, si no lo controlamos, y no permitiendo arrancar en modo seguro, se resiste...
envianos dicho fichero como muetsra para analizar:
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.85
y tras analizarlo, implementaremos su control y eliminación en nueva versión del ELIBAGLA, de lo cual informaremos
saludos
ms, 19-10-2008
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Error en Windows Defender
Hola,
mi carpeta 'c:\Muestras' está vacía.
He realizado una búsqueda en el equipo del fichero HLDRRR.EXE, y me aparece en un fichero del log del Trojan Remover.
Por otra parte, hice una reinstalación del sistema operativo (no limpia), y el error del Windows Defender ha dejado de producirse.
Creo que no puedo enviar el fichero que me solicitáis, de todas formas, adjunto contenido del Trojan Remover:
************************************************************
16:48:02: Scanning -----HIDDEN REGISTRY ENTRIES-----
Taskdir check completed
----------
Hidden Registry Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ValueName: drvsyskit
Value: C:\Windows\system32\drivers\hldrrr.exe
C:\Windows\system32\drivers\hldrrr.exe856072 bytes
Created: 17/10/2008
Modified: 18/02/2004
Company:
C:\Windows\system32\drivers\hldrrr.exe appears to contain: TROJAN.DOWNLOADER.BAGLE
C:\Windows\system32\drivers\hldrrr.exe - this registry value could not be removed
C:\Windows\system32\drivers\hldrrr.exe - process is either not running or could not be terminated
C:\Windows\system32\drivers\hldrrr.exe - file ownership assigned to: isabel\administrador
C:\Windows\system32\drivers\hldrrr.exe - process is either not running or could not be terminated
C:\Windows\system32\drivers\hldrrr.exe - file backed up to C:\Windows\system32\drivers\hldrrr.exe.vir
C:\Windows\system32\drivers\hldrrr.exe - file has been neutralised
C:\Windows\system32\drivers\hldrrr.exe - marked for renaming when the PC is restarted
----------
Hidden Registry Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ValueName: german.exe
Value: C:\Windows\system32\wintems.exe
C:\Windows\system32\wintems.exe
68659 bytes
Created: 17/10/2008
Modified: 17/10/2008
Company:
C:\Windows\system32\wintems.exe appears to contain: TROJAN.HORSE
C:\Windows\system32\wintems.exe - this registry value could not be removed
C:\Windows\system32\wintems.exe - process is either not running or could not be terminated
C:\Windows\system32\wintems.exe - file ownership assigned to: isabel\administrador
C:\Windows\system32\wintems.exe - process is either not running or could not be terminated
C:\Windows\system32\wintems.exe - file backed up to C:\Windows\system32\wintems.exe.vir
C:\Windows\system32\wintems.exe - file has been neutralised
C:\Windows\system32\wintems.exe - marked for renaming when the PC is restarted
----------
Hidden Registry Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ValueName: mule_st_key
Value: C:\Users\administrador\AppData\Roaming\m\flec006.exe
C:\Users\administrador\AppData\Roaming\m\flec006.exe
95207 bytes
Created: 17/10/2008
Modified: 17/10/2008
Company:
C:\Users\administrador\AppData\Roaming\m\flec006.exe appears to contain: WORM.BAGLE.GEN
C:\Users\administrador\AppData\Roaming\m\flec006.exe - this registry value could not be removed
C:\Users\administrador\AppData\Roaming\m\flec006.exe - process is either not running or could not be terminated
C:\Users\administrador\AppData\Roaming\m\flec006.exe - file ownership assigned to: isabel\administrador
C:\Users\administrador\AppData\Roaming\m\flec006.exe - process is either not running or could not be terminated
C:\Users\administrador\AppData\Roaming\m\flec006.exe - file backed up to C:\Users\administrador\AppData\Roaming\m\flec006.exe.vir
C:\Users\administrador\AppData\Roaming\m\flec006.exe - file has been neutralised
C:\Users\administrador\AppData\Roaming\m\flec006.exe - marked for renaming when the PC is restarted
----------
************************************************************
16:48:12: Scanning -----ACTIVE SCREENSAVER-----
ScreenSaver: C:\Windows\system32\ssBranded.scr
C:\Windows\system32\ssBranded.scr
8138240 bytes
Created: 10/11/2007
Modified: 10/11/2007
Company: Microsoft Corporation
Muchas gracias por vuestra ayuda.
--------------------
mi carpeta 'c:\Muestras' está vacía.
He realizado una búsqueda en el equipo del fichero HLDRRR.EXE, y me aparece en un fichero del log del Trojan Remover.
Por otra parte, hice una reinstalación del sistema operativo (no limpia), y el error del Windows Defender ha dejado de producirse.
Creo que no puedo enviar el fichero que me solicitáis, de todas formas, adjunto contenido del Trojan Remover:
************************************************************
16:48:02: Scanning -----HIDDEN REGISTRY ENTRIES-----
Taskdir check completed
----------
Hidden Registry Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ValueName: drvsyskit
Value: C:\Windows\system32\drivers\hldrrr.exe
C:\Windows\system32\drivers\hldrrr.exe856072 bytes
Created: 17/10/2008
Modified: 18/02/2004
Company:
C:\Windows\system32\drivers\hldrrr.exe appears to contain: TROJAN.DOWNLOADER.BAGLE
C:\Windows\system32\drivers\hldrrr.exe - this registry value could not be removed
C:\Windows\system32\drivers\hldrrr.exe - process is either not running or could not be terminated
C:\Windows\system32\drivers\hldrrr.exe - file ownership assigned to: isabel\administrador
C:\Windows\system32\drivers\hldrrr.exe - process is either not running or could not be terminated
C:\Windows\system32\drivers\hldrrr.exe - file backed up to C:\Windows\system32\drivers\hldrrr.exe.vir
C:\Windows\system32\drivers\hldrrr.exe - file has been neutralised
C:\Windows\system32\drivers\hldrrr.exe - marked for renaming when the PC is restarted
----------
Hidden Registry Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ValueName: german.exe
Value: C:\Windows\system32\wintems.exe
C:\Windows\system32\wintems.exe
68659 bytes
Created: 17/10/2008
Modified: 17/10/2008
Company:
C:\Windows\system32\wintems.exe appears to contain: TROJAN.HORSE
C:\Windows\system32\wintems.exe - this registry value could not be removed
C:\Windows\system32\wintems.exe - process is either not running or could not be terminated
C:\Windows\system32\wintems.exe - file ownership assigned to: isabel\administrador
C:\Windows\system32\wintems.exe - process is either not running or could not be terminated
C:\Windows\system32\wintems.exe - file backed up to C:\Windows\system32\wintems.exe.vir
C:\Windows\system32\wintems.exe - file has been neutralised
C:\Windows\system32\wintems.exe - marked for renaming when the PC is restarted
----------
Hidden Registry Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ValueName: mule_st_key
Value: C:\Users\administrador\AppData\Roaming\m\flec006.exe
C:\Users\administrador\AppData\Roaming\m\flec006.exe
95207 bytes
Created: 17/10/2008
Modified: 17/10/2008
Company:
C:\Users\administrador\AppData\Roaming\m\flec006.exe appears to contain: WORM.BAGLE.GEN
C:\Users\administrador\AppData\Roaming\m\flec006.exe - this registry value could not be removed
C:\Users\administrador\AppData\Roaming\m\flec006.exe - process is either not running or could not be terminated
C:\Users\administrador\AppData\Roaming\m\flec006.exe - file ownership assigned to: isabel\administrador
C:\Users\administrador\AppData\Roaming\m\flec006.exe - process is either not running or could not be terminated
C:\Users\administrador\AppData\Roaming\m\flec006.exe - file backed up to C:\Users\administrador\AppData\Roaming\m\flec006.exe.vir
C:\Users\administrador\AppData\Roaming\m\flec006.exe - file has been neutralised
C:\Users\administrador\AppData\Roaming\m\flec006.exe - marked for renaming when the PC is restarted
----------
************************************************************
16:48:12: Scanning -----ACTIVE SCREENSAVER-----
ScreenSaver: C:\Windows\system32\ssBranded.scr
C:\Windows\system32\ssBranded.scr
8138240 bytes
Created: 10/11/2007
Modified: 10/11/2007
Company: Microsoft Corporation
Muchas gracias por vuestra ayuda.
--------------------
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Error en Windows Defender
Pues si el Trojan Remover está incordiando... priemro desactivalo y luego envianos el que dices que está en :
C:\Windows\system32\drivers\hldrrr.exe
Y también este pariente del mismo:
C:\Users\administrador\AppData\Roaming\m\flec006.exe
Ocurre que cuando hay otro antivirus residente, impide que el ELIBAGLA haga su faena, por esto decimos que antes de EXPLORAR se desactive el antivirus residente...
Bueno, en cualquier caso tienes los dos localizados, envianoslos y los analizaremos, tras lo cual implementaremos su control y eliminacion en las proximas versiones de ELIBAGLA, de lo cual informaremos
saludos
ms, 10-20-1008
C:\Windows\system32\drivers\hldrrr.exe
Y también este pariente del mismo:
C:\Users\administrador\AppData\Roaming\m\flec006.exe
Ocurre que cuando hay otro antivirus residente, impide que el ELIBAGLA haga su faena, por esto decimos que antes de EXPLORAR se desactive el antivirus residente...
Bueno, en cualquier caso tienes los dos localizados, envianoslos y los analizaremos, tras lo cual implementaremos su control y eliminacion en las proximas versiones de ELIBAGLA, de lo cual informaremos
saludos
ms, 10-20-1008
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Error en Windows Defender
Hola,
no dispongo de ninguno de los ficheros. Lamento no poder enviarlos. Parece que el Trojan Remover consiguió eliminarlos.
Paso a cerrar el tema, si os parece.
Muchas gracias por vuestra ayuda.
no dispongo de ninguno de los ficheros. Lamento no poder enviarlos. Parece que el Trojan Remover consiguió eliminarlos.
Paso a cerrar el tema, si os parece.
Muchas gracias por vuestra ayuda.
Re: Error en Windows Defender
Pues a peticion tuya se cierra el tema dandolo por solucionado, saludos