Un virus o malware me ha desabilitado los antivirus!!!

victor_2010 · *Editado por mimasol : 27-02-2008 a las 23:03*

Hola que tal, no se si esto debería ir aquí pero bueno, el otro dia dejé por la noche el ordenador descargando cosas y cuando lo vi el dia siguiente, no me funcionaba el COMODO firewall Pro. Me extrañó y me dijo que la reinstalación solucionaría el problema, pero nada, sigue igual. Y con el Spybot - Search & Destroy, y antivirus NOD32, al abrirlos me decía "C:\Archivos de programa... no es una aplicación Win32 válida." Y por ahora no tengo ni antivirus, ni firewall, ni nada. Necesito ayuda urgente por favor. Si a alguien le ha ocurrido que me lo diga, y si lo ha podido solucionar mucho mejor. Espero que me podáis otorgar respuestas lo más rápido posible, porque no tengo seguridad navegando. Muchas gracias de antemano.

mimasol · 22-02-2008, 23:09

Puede ser que algun virus te haya corrompido archivos del sistema o te los haya reemplazado.
Cuales son las aplicaciones afectadas? Exactamente que archivo te marca cada vez que aparece que no es una aplicacion valida?

Escanea con Ewido y contame que te ha aparecido.

Saludos
MImasol

victor_2010 · 23-02-2008, 01:25

Gracias, lo analizaré y ya te contaré.

victor_2010 · 23-02-2008, 02:25

Gracias por el programa, me ha eliminado 17 problemas: 5 en peligro alto, y 12 en medio. Pero me sigue saliendo el mensaje al abrir el Spybot - Search & Destroy, COMODO Firewall Pro y NOD32. El mensaje cuando abro el SpybotSD.exe es este --> "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe no es una aplicación Win32 válida."
Las aplicaciones afectadas son el antivirus NOD32, COMODO Firewall Pro, Spybot - Search & Destroy, y las unidades de disco, que al pinchar sobre una de ellas me dice que no tiene formato. Espero que se pueda solucionar pronto.

mimasol · 23-02-2008, 17:15

Tiene toda la pinta de ser el Bagle..para estar seguros si lo es o la variedad bajate este programa..
Hijack This
Arma una carpeta especifica para el.
Entra al pc en MODO DE PRUEBA DE FALLOS.

En opciones de carpeta tilda mostrar archivos ocultos y destilda ocultar archivos del sistema.
Ej: Mipc/herramientas/opcionesdecarpeta/ver.

Escanea con el programa y pegame el log

Saludos
Mimasol

victor_2010 · 23-02-2008, 22:50

Al iniciar el ordenador, le doy a "f8", pero muy pocas veces me aparece una pantalla con:
- Modo seguro.
- Modo seguro con funciones de red.
- Modo seguro con símbolo del sistema.
- Iniciar Windows normal.
Al aparecer, el teclado no responde y no puedo seleccionar modo seguro. A los 30 segundos se inicia normal. ¿Qué hago mal? Y al instalar el programa, le doy a ejecutar el archivo y no me deja:
C:\Achivos de programa\Trend Micro\HijackThis\HijackThis.exe no es una aplicación Win32 válida.
Saludos.

mimasol · 23-02-2008, 23:15

No creo que puedas pero por las dudas intenta restaurar sistema..
Si no podes desactivalo ..y vamos a pasarle estos dos antivirus online

Nod32

TrendMicro

copia lo que te sale..anteriormente comentaste lo del ewido ..pero al no saber cuales eran los archivos que te detectaba de riesgo alto..estamos todavia en cero

,si los recordas postealos..

Fijate si tenes estas entradas en el registro:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
hldrrr = %windir%\hldrrr.exe

HKEY_CURRENT_USER\ Software\ FirstRRun

Elimina este archivo si lo tenes tb :

C:\ Documents and Settings\ %nombreusuario%\ Application Data\ m\MDELK.EXE

Y esta entrada tambien:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
mule_st_key = C:\ Documents and Settings\ %nombreusuario%\ Application Data\ m\ mdelk.exe

Suerte!

Saludos
Mimasol

victor_2010 · 24-02-2008, 01:55

En ESET:
Scan Results: Threats found in your computer!
Overview:
Files scanned: 180393
Threats found: 3
Total scan time: 01:34:39
Scan status: Finished.
Details:
Win32/Bagle.NA worm (unable to clean - deleted)
C:\Documents and Settings\PC\Configuración Local\Temp\wzf595\Super Popup Blocker Pro 4.1.exe
Win32/Bagle.NA worm (unable to clean - deleted)
C:\Documents and Settings\PC\Configuración Local\Temp\wzc5aa\Super Popup Blocker Pro 4.1.exe
Win32/Bagle.NA worm (unable to clean - deleted)
C:\Archivos de programa\CursorXP\CursorXP.exe
Pone que los a eliminado, pero no me va el antivirus.

mimasol · 24-02-2008, 02:22

Busca las entradas que te dije y borralas ...
Tambien busca en el registro las siguientes :
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\Superpopupbloquerpro
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\Cursorxp.

Si no estan decime las entradas que te salen, asi nos damos cuenta que fichero ha quedado sin borrar.

Saludos
Mimasol

victor_2010 · 24-02-2008, 15:48

No me sale nada en ninguna de las 2 últimas y algunas anteriores.

mimasol · 24-02-2008, 15:52

Pasa el hijackthis..que ya debe funcionar y prueba a reinstalar el antivirus.

Saludos
Mimasol

victor_2010 · 24-02-2008, 16:17

Pues el hijackthis no me va, me sigue saliendo:
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe no es una aplicación Win32 válida.
¿Qué hago mal?

mimasol · 24-02-2008, 16:44

Busca en C:\Archivos de programa\Super Popup Blocker Pro 4.1
Vuelve a escanear en forma online..aun hay algun fichero .

Cuando escaneas con los antivirus ,esta tildado mostrar archivos ocultos y desactivado restaurar el sistema?

Saludos
Mimasol

victor_2010 · 24-02-2008, 17:11

Esa carpeta ya no está, y he puesto mostrar archivos ocultos y deshabilitar restaurar sistema.

mimasol · 24-02-2008, 17:14

Descarga esta herramienta (el link de descarga esta al final )

http://www.zonavirus.com/datos/desca...5/ELIBAGLA.asp

Y prueba a escanear.
No me has dicho si tenes el cd del SO.

Saludos
Mimasol

victor_2010 · 24-02-2008, 17:28

Ha empezado a analizar y me ha dicho que tengo el bagle. Le doy a aceptar y reinicio.
PD: No tengo el cd del SO.

mimasol · 24-02-2008, 17:36

Seguramente te ha quedado alguna cadena en el registro.
Si has tildado la opcion de eliminar archivos en forma automatica estaria listo.
Al final escaneas con un antivirus y luego reinstala todos tus programas de seguridad.

Deberia quedar todo perfecto-

Saludos
Mimasol

victor_2010 · 24-02-2008, 17:50

Me pone que ha eliminado el bagle, pero no me va el antivirus. He puesto de nuevo a analizar y otra vez me dice que lo a eliminado. Que no lo elimina.

mimasol · 24-02-2008, 17:58

Entra al disco c y fijate si tenes un txt que se llame info .txt o santinfo.txt y pegalo aca en el post..asi te oriento para poder eliminar los archivos con el killbox.
Lo de la pantalla azul tambien es del bagle..aparentemente tenes dos o tres variedades de este gusano..Has eliminado lo descargado del p2p?

Saludos
Mimasol

victor_2010 · 24-02-2008, 18:02

Sun Feb 24 17:17:10 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Sun Feb 24 17:18:53 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 7443
Nº Total de Ficheros: 71561
Nº de Ficheros Analizados: 9439
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sun Feb 24 17:30:09 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Feb 24 17:33:01 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Feb 24 17:33:15 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 7440
Nº Total de Ficheros: 71550
Nº de Ficheros Analizados: 9432
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sun Feb 24 17:47:43 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Feb 24 17:53:55 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.