PDA

Ver la versión completa : Un virus o malware me ha desabilitado los antivirus!!!



victor_2010
22-02-2008, 22:55
Hola que tal, no se si esto debería ir aquí pero bueno, el otro dia dejé por la noche el ordenador descargando cosas y cuando lo vi el dia siguiente, no me funcionaba el COMODO firewall Pro. Me extrañó y me dijo que la reinstalación solucionaría el problema, pero nada, sigue igual. Y con el Spybot - Search & Destroy, y antivirus NOD32, al abrirlos me decía "C:\Archivos de programa... no es una aplicación Win32 válida." Y por ahora no tengo ni antivirus, ni firewall, ni nada. Necesito ayuda urgente por favor. Si a alguien le ha ocurrido que me lo diga, y si lo ha podido solucionar mucho mejor. Espero que me podáis otorgar respuestas lo más rápido posible, porque no tengo seguridad navegando. Muchas gracias de antemano. :(

mimasol
23-02-2008, 00:09
Puede ser que algun virus te haya corrompido archivos del sistema o te los haya reemplazado.
Cuales son las aplicaciones afectadas? Exactamente que archivo te marca cada vez que aparece que no es una aplicacion valida?

Escanea con Ewido (http://www.ewido.net/en/onlinescan/) y contame que te ha aparecido.

Saludos
MImasol

victor_2010
23-02-2008, 02:25
Gracias, lo analizaré y ya te contaré.

victor_2010
23-02-2008, 03:25
Gracias por el programa, me ha eliminado 17 problemas: 5 en peligro alto, y 12 en medio. Pero me sigue saliendo el mensaje al abrir el Spybot - Search & Destroy, COMODO Firewall Pro y NOD32. El mensaje cuando abro el SpybotSD.exe es este --> "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe no es una aplicación Win32 válida."
Las aplicaciones afectadas son el antivirus NOD32, COMODO Firewall Pro, Spybot - Search & Destroy, y las unidades de disco, que al pinchar sobre una de ellas me dice que no tiene formato. Espero que se pueda solucionar pronto.

mimasol
23-02-2008, 18:15
Tiene toda la pinta de ser el Bagle..para estar seguros si lo es o la variedad bajate este programa..
Hijack This (http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html)
Arma una carpeta especifica para el.
Entra al pc en MODO DE PRUEBA DE FALLOS.

En opciones de carpeta tilda mostrar archivos ocultos y destilda ocultar archivos del sistema.
Ej: Mipc/herramientas/opcionesdecarpeta/ver.

Escanea con el programa y pegame el log ;)

Saludos
Mimasol

victor_2010
23-02-2008, 23:50
Al iniciar el ordenador, le doy a "f8", pero muy pocas veces me aparece una pantalla con:
- Modo seguro.
- Modo seguro con funciones de red.
- Modo seguro con símbolo del sistema.
- Iniciar Windows normal.
Al aparecer, el teclado no responde y no puedo seleccionar modo seguro. A los 30 segundos se inicia normal. ¿Qué hago mal? Y al instalar el programa, le doy a ejecutar el archivo y no me deja:
C:\Achivos de programa\Trend Micro\HijackThis\HijackThis.exe no es una aplicación Win32 válida.
Saludos.

mimasol
24-02-2008, 00:15
No creo que puedas pero por las dudas intenta restaurar sistema..
Si no podes desactivalo ..y vamos a pasarle estos dos antivirus online


Nod32 (http://enlaces.wilkinsonpc.com.co/?url=http://www.eset.com/threat-center/cac.php)

TrendMicro (http://housecall.trendmicro.com/es/)

copia lo que te sale..anteriormente comentaste lo del ewido ..pero al no saber cuales eran los archivos que te detectaba de riesgo alto..estamos todavia en cero :( ,si los recordas postealos..

Fijate si tenes estas entradas en el registro:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
hldrrr = %windir%\hldrrr.exe

HKEY_CURRENT_USER\ Software\ FirstRRun

Elimina este archivo si lo tenes tb :

C:\ Documents and Settings\ %nombreusuario%\ Application Data\ m\MDELK.EXE

Y esta entrada tambien:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
mule_st_key = C:\ Documents and Settings\ %nombreusuario%\ Application Data\ m\ mdelk.exe


Suerte!

Saludos
Mimasol

victor_2010
24-02-2008, 02:55
En ESET:
Scan Results: Threats found in your computer!
Overview:
Files scanned: 180393
Threats found: 3
Total scan time: 01:34:39
Scan status: Finished.
Details:
Win32/Bagle.NA worm (unable to clean - deleted)
C:\Documents and Settings\PC\Configuración Local\Temp\wzf595\Super Popup Blocker Pro 4.1.exe
Win32/Bagle.NA worm (unable to clean - deleted)
C:\Documents and Settings\PC\Configuración Local\Temp\wzc5aa\Super Popup Blocker Pro 4.1.exe
Win32/Bagle.NA worm (unable to clean - deleted)
C:\Archivos de programa\CursorXP\CursorXP.exe
Pone que los a eliminado, pero no me va el antivirus.

mimasol
24-02-2008, 03:22
Busca las entradas que te dije y borralas ...
Tambien busca en el registro las siguientes :
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\Superpopupbloquerpro
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\Cursorxp.

Si no estan decime las entradas que te salen, asi nos damos cuenta que fichero ha quedado sin borrar.

Saludos
Mimasol

victor_2010
24-02-2008, 16:48
No me sale nada en ninguna de las 2 últimas y algunas anteriores.

mimasol
24-02-2008, 16:52
Pasa el hijackthis..que ya debe funcionar y prueba a reinstalar el antivirus.


Saludos
Mimasol

victor_2010
24-02-2008, 17:17
Pues el hijackthis no me va, me sigue saliendo:
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe no es una aplicación Win32 válida.
¿Qué hago mal?

mimasol
24-02-2008, 17:44
Busca en C:\Archivos de programa\Super Popup Blocker Pro 4.1
Vuelve a escanear en forma online..aun hay algun fichero .

Cuando escaneas con los antivirus ,esta tildado mostrar archivos ocultos y desactivado restaurar el sistema?


Saludos
Mimasol

victor_2010
24-02-2008, 18:11
Esa carpeta ya no está, y he puesto mostrar archivos ocultos y deshabilitar restaurar sistema.

mimasol
24-02-2008, 18:14
Descarga esta herramienta (el link de descarga esta al final )

http://www.zonavirus.com/datos/descargas/95/ELIBAGLA.asp

Y prueba a escanear.
No me has dicho si tenes el cd del SO.


Saludos
Mimasol

victor_2010
24-02-2008, 18:28
Ha empezado a analizar y me ha dicho que tengo el bagle. Le doy a aceptar y reinicio.
PD: No tengo el cd del SO.

mimasol
24-02-2008, 18:36
Seguramente te ha quedado alguna cadena en el registro.
Si has tildado la opcion de eliminar archivos en forma automatica estaria listo.
Al final escaneas con un antivirus y luego reinstala todos tus programas de seguridad.

Deberia quedar todo perfecto-

Saludos
Mimasol

victor_2010
24-02-2008, 18:50
Me pone que ha eliminado el bagle, pero no me va el antivirus. He puesto de nuevo a analizar y otra vez me dice que lo a eliminado. Que no lo elimina.

mimasol
24-02-2008, 18:58
Entra al disco c y fijate si tenes un txt que se llame info .txt o santinfo.txt y pegalo aca en el post..asi te oriento para poder eliminar los archivos con el killbox.
Lo de la pantalla azul tambien es del bagle..aparentemente tenes dos o tres variedades de este gusano..Has eliminado lo descargado del p2p?

Saludos
Mimasol

victor_2010
24-02-2008, 19:02
Sun Feb 24 17:17:10 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Sun Feb 24 17:18:53 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 7443
Nº Total de Ficheros: 71561
Nº de Ficheros Analizados: 9439
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sun Feb 24 17:30:09 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Feb 24 17:33:01 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Feb 24 17:33:15 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 7440
Nº Total de Ficheros: 71550
Nº de Ficheros Analizados: 9432
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sun Feb 24 17:47:43 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Feb 24 17:53:55 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

mimasol
24-02-2008, 19:16
Descarga este programa

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Corre el programa y tilda Unregister Dll's and Ocx's
En donde dice Paste List of Filas / Folders to be moved. copia y pega lo siguiente.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

Clikea en move it una vez que salen los resultados exit/reinicias el pc .
Luego volve a escanear con elibagla y el nod u otro antivirus

Saludos
MImasol

victor_2010
24-02-2008, 19:26
¿Qué es el p2p?
Se me pone la pantalla azul más veces.

mimasol
24-02-2008, 19:36
P2p son los programas como el ares ,emule, edonkey por ahi entra el bagle.

Has hecho lo que te dije? deberia resolverse el problema..

Saludos
Mimasol

RaidMan
24-02-2008, 20:10
Tambien el FileAssasin va bien para eliminar archivos que no se dejan borrar, ademas de estar en español y ser gratis.

Un saludo

victor_2010
25-02-2008, 00:32
Lo he hecho y nada, sigue todo igual. Mediante el programa "FileAssasin", que ha dicho RaidMan, he borrado el archivo en donde me decía que estaba el gusano. Creo que el archivo era MDELK.exe

mimasol
25-02-2008, 00:36
Cuando decis todo igual a que te referis exactamente? reinstalaste antivirus y firewall y no funcionan?

El elibagla todavia te detecta los archivos infectados como no eliminados?
El nod ,el ewido tambien?
Creo que hay algo que estas pasando por alto y deja algun archivo dando vuelta y esto hace que no logremos limpiarla. :(

Saludos
MImasol

victor_2010
25-02-2008, 17:30
He analizado el ordenador (que no lo había hecho antes, perdón), y me ha encontrado 7 gusanos Bagle:
# version=4
# OnlineScanner.ocx=1.0.0.635
# OnlineScannerDLLA.dll=1, 0, 0, 79
# OnlineScannerDLLW.dll=1, 0, 0, 78
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=2899 (20080225)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.064 (20070717)
# EOSSerial=507d2777986e0c42b4d523281155f805
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2008-02-25 03:28:05
# local_time=2008-02-25 04:28:05 (+0100, Hora estándar romance)
# country="Spain"
# osver=5.1.2600 NT Service Pack 2
# scanned=169797
# found=7
# scan_time=3309
# nod_component=NOD32MOD_WINNT_ENGLISH_BASE Build:0x11081610 (NOD32 For Windows NT/2000/XP/2003/Vista/x64 - Base)
# nod_component=NOD32MOD_WINNT_ENGLISH_INET Build:0x11081610 (NOD32 For Windows NT/2000/XP/2003/Vista/x64 - Internet support)
# nod_component=NOD32MOD_WINNT_ENGLISH_STANDARD Build:0x11081610 (NOD32 for Windows NT/2000/XP/2003/Vista/x64 - Standard component)
C:\Documents and Settings\PC\Configuración local\Archivos temporales de Internet\Content.IE5\2MSYBNP4\b64_1[1].jpg Win32/Bagle.LY worm (unable to clean - deleted) 00000000000000000000000000000000
C:\Documents and Settings\PC\Configuración local\Archivos temporales de Internet\Content.IE5\2MSYBNP4\b64_1[2].jpg Win32/Bagle.LY worm (unable to clean - deleted) 00000000000000000000000000000000
C:\Documents and Settings\PC\Configuración local\Archivos temporales de Internet\Content.IE5\3BHXRY56\b64_31[1].jpg Win32/Bagle.MW worm (unable to clean - deleted) 00000000000000000000000000000000
C:\Documents and Settings\PC\Configuración local\Archivos temporales de Internet\Content.IE5\GK3B9ILJ\b64_1[1].jpg Win32/Bagle.LY worm (unable to clean - deleted) 00000000000000000000000000000000
C:\Documents and Settings\PC\Configuración local\Archivos temporales de Internet\Content.IE5\GK3B9ILJ\b64_31[1].jpg Win32/Bagle.MW worm (unable to clean - deleted) 00000000000000000000000000000000
C:\Documents and Settings\PC\Configuración local\Archivos temporales de Internet\Content.IE5\GK3B9ILJ\b64_31[2].jpg Win32/Bagle.MW worm (unable to clean - deleted) 00000000000000000000000000000000
C:\Documents and Settings\PC\Configuración local\Datos de programa\ixwovpcrq.exe ixwovpcrq Win32/Bagle.NA worm (unable to clean - deleted) 00000000000000000000000000000000

clarinetista
25-02-2008, 20:19
Pasale un antivirus online, y actualiza tu antivirus para ayer, que fue cuando sacaron los de NOD32 las firmas para esos virus :)
también te recomiendo un firewall, que te filtre cada conexión ya que se reinfecta con cada inicio de sesión.

mimasol
25-02-2008, 21:55
Cada vez que pases el antivirus tambien debes pasar el elibagla para ver que realmente estes limpio.
No te olvides de borrar todos los archivos temporales tambien .

Saludos
Mimasol

aitor_gl
25-02-2008, 22:15
hola, te recomiendo intentar con el antivirus de Gdata

victor_2010
25-02-2008, 23:39
Ya se donde está el problema y es que estos archivos, no se borran con el "OTMoveIt2.exe" y por tanto, siguen en el sistema:
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
:( ¿Qué hago para borrarlos? ¿Hay otro programa que los borra?
He mirado mediante el explorador de windows que estos archivos no aparecen.
PD: Tengo puesto, mostrar archivos y carpetas ocultos.

mimasol
25-02-2008, 23:49
El OTMoveIt2 no los borra, los mueve del lugar para poder ser eliminados por elibagla o por el antivirus.
Si estos no pueden borrarlos utiliza el FileAssasin.

Saludos
Mimasol

victor_2010
25-02-2008, 23:52
Ya los he borrado, ahora tengo que reinstalar los antivirus, ¿no?
Otra cosa, ¿ya he eliminado completamente el Bagle?

mimasol
25-02-2008, 23:57
Reinicias el pc , escaneas de nuevo a modo de prueba de fallos mejor.(ahora te dejara seguramente) .Reinstalas de nuevo antivirus y firewall y adios bagle.;)

Saludos
MImasol

clarinetista
26-02-2008, 00:02
En principio si, pero puedes buscar también herramientas de desinfección especificas o vacunas,también antivirus online, como por ejemplo te planteo algunas :

http://esp.sophos.com/support/disinfection/baglea.html

http://www.alerta-antivirus.es/virus/antivirus_en_linea.html

victor_2010
26-02-2008, 00:09
Ya me va el "HijackThis"! Eso significa que ya me van los antivirus!?
Mon Feb 25 23:00:16 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Mon Feb 25 23:00:20 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\100031.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\115000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\92046.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\99859.EXE --> Eliminado Bagle

Nº Total de Directorios: 6630
Nº Total de Ficheros: 60208
Nº de Ficheros Analizados: 9265
Nº de Ficheros Infectados: 4
Nº de Ficheros Limpiados: 4

victor_2010
26-02-2008, 00:17
:DBien!!!!!!!!!!!!!!!!! :)Muchísimas Gracias a todos, y sobre todo a mimasol. Ya me va el Spybot - Search & Destroy, el antivirus, el firewall... De verdad, sois los mejores!!!!

mimasol
26-02-2008, 00:23
:) Me alegro que se haya resuelto tu problema.
A partir de ahora tene mas cuidado con las descargas de p2p ;)

Damos el tema por terminado.


Pd:de que somos los mejores ni dudar!!!!!:D:D:D

Saludos
MImasol.