Virus que no me deja instalar ningún antivirus (SOLUCIONADO)

[ramo]

Bueno yo tenía instalado en Norman Antivirus legal y con licencia en vigor, y resulta que un día me salió un mensaje de error que me decía que Zanda no se estaba ejecutando. Básicamente lo que esto quiere decir es que la protección del Norman no se ejecuta, en concreto es que NI EXISTE, la mitad d ela carpeta de Norman ha "volado" y el antivirus no puede hacer otra cosa más que actualizarse: ni escanear discos duros ni siquiera configurarlo...



He desinstalado el antivirus con un programa de Symantec que borra todas las trazas, incluso use el CCleaner para borrar cualquier rastro. HE intentado instalar otros antivirus gratuitos (avg, free-av, etc...) e incluso versiones de prueba (Kaspersky, nod32, etc...) y siempre que lo intento me dan diversos errores durante la instalación.



No puedo restaurar el sistema, las actualizaciones automáticas se me bloquearon (las volví a activar pero de todas formas los de moco$oft no tenían ninguna crítica) y le paso el Adware y no me encuentra nada.



Tampoco puedo instalar el SPyboot search and destroy :S



Utilizé Hijackthis y esto es lo que me salió:





Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\htpatch.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\WINDOWS\system32\hldrrr.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\usuario\Configuración local\Archivos temporales de Internet\Content.IE5\RB6VKMLM\HiJackThis_v2[1].exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 62.132.1.121 L2authd.lineage2.com

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20060912/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://www.bellenglish.com/library/players/authorware/full/aw52fullautoinstall/awarewebplayer/download/smart/cab/awswaxf.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - http://www.windowsvistatestdrive.com/ActiveX/VMRCActiveXClient1.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1EF464A3-21CF-4652-B306-4DA532A7703E}: NameServer = 62.36.225.150 62.37.228.20

O20 - Winlogon Notify: winccf32 - winccf32.dll (file missing)

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Archivos de programa\WinPcap\rpcapd.exe (file missing)

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe



Si alguién tiene alguna idea :S:S:S...que no sea formatear xDxDxD

[Claudia34]

Por lo que veo te falta una parte del principio del log que pegaste donde dice el S.O. que tienes y pequeños detalles, aunque mientras esperas para ver lo que dicen sobre el log que pegaste, haz lo mismo con las siguientes herramientas que hay a continuacion:



Pues descargate las siguientes herramientas de los siguientes enlaces respectivos, guardalos en una carpeta y lanzalos en modo a prueba de fallos obviamente con la restauracion del sistema desactivado para que de mejores resultados :



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pasate tambien el Elitriip, y nos pegas el log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp





Saludos.

[lucl]

El bagle es uno de los que se dedica a hacer ese tipo de cosas, pasate esta herramienta que te indico con el pc arrancado en modo normal y luego peganos el log que te dejara en C infosat.txt saludos.



http://www.zonavirus.com/descargas/elibagla.asp

[msc hotline sat]

De entrada tienes Bagle, lanza el ELIBAGLA:





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y un DPF malicioso, elimina esta clave:



O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citri x/wficat-no-eula.cab



y esta otra que contiene la carga de un troyano:



O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Y ENVIANOS MUESTRA DE ESTE FICHERO PARA ANALIZAR:



C:\WINDOWS\system32\nvsvcd.exe



PUEDE QUE CON EL elitriip YA LO HAYAS ELIMINADO, tras todo lo indicado POSTEANOS EL CONTENIDO DE c:\INFOSAT.TXT



saludos



ms, 2-06-2007

[msc hotline sat]

Es una nueva variante que implementaremos en la nueva version 3.62 del ELITRIIP de hoy que subiremos esta tarde a partir de las 20 h a esta web, para pruebas de evaluacion



saludos



ms, 7-06-2007

[pernia]

Me parece k me pasa lo mismo anteriormente descrito ya que no me deja instalar nungun antivirus.He pasado el ELIBAGLA y ma dixo k si tenia el virus bagle.Os mando lo que e ha salido en el infosat:





Sun Jun 10 15:39:05 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

D:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR

D:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

D:\DOCUMENTS AND SETTINGS\MIKEL PERNÍA\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

D:\DOCUMENTS AND SETTINGS\MIKEL PERNÍA\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.41

a "virus@satinfo.es". Gracias.

D:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"



Sun Jun 10 15:39:58 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Jun 10 15:45:41 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Documents and Settings\MIKEL PERNÍA\Configuración local\Temp\~2.EXE --> Eliminado Bagle

D:\Documents and Settings\MIKEL PERNÍA\Configuración local\Temp\~3.EXE --> Eliminado Bagle



Sun Jun 10 15:51:31 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Sun Jun 10 15:52:20 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Sun Jun 10 15:54:22 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

D:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR --> Eliminado

D:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

D:\DOCUMENTS AND SETTINGS\MIKEL PERNÍA\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

D:\DOCUMENTS AND SETTINGS\MIKEL PERNÍA\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)

D:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Eliminado

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"



Sun Jun 10 15:56:04 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%AppData%\Hidires"

Restaurada Clave: "SafeBoot\Minimal y Network"



Sun Jun 10 15:56:39 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

[pernia]

Por si acaso kereis verlo este el hijackthis:



Logfile of HijackThis v1.99.1

Scan saved at 16:06:22, on 10/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\SYSTEM32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\drivers\CDAC11BA.EXE

D:\ARCHIV~1\MICROS~3\MSSQL$~1\binn\sqlservr.exe

D:\ARCHIV~1\MICROS~3\MSSQL\binn\sqlservr.exe

D:\Archivos de programa\Microsoft Analysis Services\Bin\msmdsrv.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\UAService7.exe

D:\Archivos de programa\Archivos comunes\System\MSSearch\Bin\mssearch.exe

D:\WINDOWS\Explorer.EXE

D:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\WINDOWS\system32\carpserv.exe

D:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

D:\Archivos de programa\USB Disk Win98 Driver\Res.EXE

D:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

D:\WINDOWS\system32\ctfmon.exe

E:\Programas\eMule\emule.exe

D:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

D:\Archivos de programa\VIA\RAID\raid_tool.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

E:\Programas\eMule\Incoming\hijackthis_199\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://2uid.info

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: XBTB06829 - {1D09A743-00ED-4713-BCC4-32D590D1087A} - D:\Archivos de programa\Toolbar\like_googlenew1.1a.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:\Archivos de programa\MSN Apps\ST\01.02.0001.1004\en-xu\stmain.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.0001.1004\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.0001.1004\es\msntb.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Procesor Driver - {25F97EB4-1C02-45BA-BA0C-E67AACE64D4A} - D:\Archivos de programa\Toolbar\like_googlenew1.1a.dll

O4 - HKLM\..\Run: [ATIPTA] D:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [ISUSScheduler] "D:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [USB Storage Toolbox] D:\Archivos de programa\USB Disk Win98 Driver\Res.EXE

O4 - HKLM\..\Run: [OpwareSE2] "D:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] D:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [ISUSPM Startup] "D:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] E:\Programas\eMule\emule.exe -AutoStart

O4 - Global Startup: Administrador de servicios.lnk = D:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: VIA RAID TOOL.lnk = D:\Archivos de programa\VIA\RAID\raid_tool.exe

O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://D:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Convertir a PDF de Adobe - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://D:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://D:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Impresión de Easy-WebPrint - res://D:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://D:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\system32\msjava.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {25365FF3-2746-4230-9DA7-163CCA318309} (Automatic Driver Installation Control) - http://inst.c-wss.com/n024p/EN/install/gtdownlr.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - D:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Boonty Games - BOONTY - D:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - D:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: DirectX Service (DirectBokl) - Unknown owner - D:\WINDOWS\system32\directx.exe (file missing)

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - D:\WINDOWS\system32\UAService7.exe

[lucl]

Esta claro que tienes el bagle tambien, pero debes enviar esto que te piden que estara en la carpeta muestras



Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.41

a "virus@satinfo.es". Gracias.



sigue las indicaciones del link que te dejo a continuacion, saludos



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[pernia]

Os he mandado el archivo de la carpeta muestras.Otra cosa, e intentao entrar en modo seguro y no me deja.No me deja elegir la opcion con los cursores y siempre me arranca en modo normal.Esto pk es?GRACIAS

[msc hotline sat]

El no poder arrancar en modo seguro es tipico del Bagle, pero una vez ya has ejecutado el ELIBAGLA ya debes poder.



Analizaremos la muestra que nos envias e implementaremos su control, y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 11-06-2007

[msc hotline sat]

Aparte, del log de HJT cabe indicar:





Elimine estas claves:



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://2uid.info



R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)



O2 - BHO: XBTB06829 - {1D09A743-00ED-4713-BCC4-32D590D1087A} - D:\Archivos de programa\Toolbar\like_googlenew1.1a.dll



O23 - Service: DirectX Service (DirectBokl) - Unknown owner - D:\WINDOWS\system32\directx.exe (file missing)







y envianos este fichero para analizar:



D:\Archivos de programa\Toolbar\like_googlenew1.1a.dll







->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 11.06.2007

[pernia]

como y donde debo elimar esas entradas k m habeis puesto?

[msc hotline sat]

Ya se lo indicamos en el ultimo link del post anterior:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ms.

[pernia]

Me sigue sin dejar arrancar en modo seguro.Se puede hacer en modo normal para eliminar las entradas indicadas?GRACIAS

[msc hotline sat]

ºEjecute de nuevo el ELIBAGLA y posteenos el contenido de c:\infosat.txt, a ver si es que se le regenera, porque sino debería poder arrancar en modo seguro, y a no ser que se trate de algo nuevo, ya debería estar solucionado:



Siempre la ultima version, claro:





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



y tambie pruebe el ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp







Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos





saludos



ms, 11-06-2007



nota: y recordar enviar la muestra pedida, si aun no lo ha hecho:



D:\Archivos de programa\Toolbar\like_googlenew1.1a.dll



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[pernia]

Sigue sin dejarme entrar en modo seguro por lo que no puedo borrar las entradas.Ya le he pasao los 2 q habeis dixo el ELIBAGLA Y EL ELITRIP.Tb os he mandado ya el archivo infosat.

Se puede borrar esas entradas sin entrar en modo seguro, solo entrando normal?

[msc hotline sat]

El infosat.txt lo debes postear aqui, no enviarlo...



y lo de eliminar claves sin arrancar en modo seguro, pruebalo, pero cierra todos los procesos al respecto.



saludos



ms, 11-06-2007

[pernia]

el infosat:



Sun Jun 10 15:39:05 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

D:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR

D:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

D:\DOCUMENTS AND SETTINGS\MIKEL PERNÍA\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

D:\DOCUMENTS AND SETTINGS\MIKEL PERNÍA\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.41

a "virus@satinfo.es". Gracias.

D:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"



Sun Jun 10 15:39:58 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Jun 10 15:45:41 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Documents and Settings\MIKEL PERNÍA\Configuración local\Temp\~2.EXE --> Eliminado Bagle

D:\Documents and Settings\MIKEL PERNÍA\Configuración local\Temp\~3.EXE --> Eliminado Bagle



Sun Jun 10 15:51:31 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Sun Jun 10 15:52:20 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Sun Jun 10 15:54:22 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

D:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR --> Eliminado

D:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

D:\DOCUMENTS AND SETTINGS\MIKEL PERNÍA\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

D:\DOCUMENTS AND SETTINGS\MIKEL PERNÍA\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)

D:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Eliminado

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"



Sun Jun 10 15:56:04 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%AppData%\Hidires"

Restaurada Clave: "SafeBoot\Minimal y Network"



Sun Jun 10 15:56:39 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Sun Jun 10 17:08:43 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Jun 10 17:08:46 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Mon Jun 11 14:09:33 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Jun 11 14:09:36 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Mon Jun 11 16:26:02 2007

EliTriIP v3.63 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Jun 11 16:26:04 2007

EliTriIP v3.63 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Jun 11 16:27:08 2007

EliTriIP v3.63 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Mon Jun 11 16:32:28 2007

EliTriIP v3.63 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\Programas\antivirus\Pack De Seguridad\Pack de Seguridad.exe --> Eliminado, KillAV.FX

E:\Programas\eMule\Incoming\PC-TuneUp.Utilities.2007.6.0.1256.Spanish.up.by.jolo\TuneUp Utilities 2007 6.0.1256\TuneUp Utilities 2007 6.0.1256\KeyGen.exe --> Eliminado, KeyGen.Bublic



Mon Jun 11 16:33:02 2007

EliTriIP v3.63 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Mon Jun 11 16:33:18 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Jun 11 16:33:22 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Mon Jun 11 16:34:10 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Mon Jun 11 16:34:18 2007

EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Jun 11 16:36:38 2007

EliTriIP v3.63 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Jun 11 16:36:39 2007

EliTriIP v3.63 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Jun 11 16:37:05 2007

EliTriIP v3.63 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\WINDOWS\system32\UAService7.exe.vir --> Eliminado, Malware(uaservice)



Mon Jun 11 16:41:28 2007

EliTriIP v3.63 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Mon Jun 11 16:41:51 2007

EliTriIP v3.63 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Mon Jun 11 17:30:54 2007

EliStartPage v14.16 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

D:\WINDOWS\SYSTEM32\GTDOWNLR_134.OCX --> Eliminado GTDown

Eliminada Class, "{25365FF3-2746-4230-9DA7-163CCA318309}" -> D:\WINDOWS\system32\gtdownlr_134.ocx

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (G)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Mon Jun 11 17:31:36 2007

EliStartPage v14.16 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Jun 11 17:32:19 2007

EliStartPage v14.16 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\BOONTY.EXE --> Eliminado, Boonty Games

D:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar



Mon Jun 11 17:38:20 2007

EliStartPage v14.16 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Mon Jun 11 17:38:47 2007

EliStartPage v14.16 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

[msc hotline sat]

Pues si persiste alguna anomalia, envianos este "autorun.exe" que se detecta sospechoso y que debes tener en C:\ supongo ???



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Si ya no persiste ninguna anomalia, indicanoslo para poder dar por solucionado el Tema



saludos



ms, 11-06-2007

[pernia]

No tengo ningun autorun.exe del tipo que dices.Ahora me deja ya instalar antivirus.He instalao el avg, pero en cambio lo de iniciar en modo seguro no puedo.A veces me sigue dando fallos el ordenador.Como puedo saber si ya no tengo el virus bagle o algo.

GRACIAS

[msc hotline sat]

Tienes razón, en el infosat se pedia una muestra para analizar:



"Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.41 "



y creo que nos pasó por alto...



Si no lo has enviado, procede a ello



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Tras analizarla implementaremos su control y eliminacion en nueva version 10.42 del ELIBAGLA, de lo cual informaremos



saludos



ms, 13-06-2007

[pernia]

ahora mismo en la carpeta muestras no tengo nada.No sale nada

[msc hotline sat]

No he sabido ver cuando se había eliminado, pero como que el que se renombró sí que se eliminó, se comprende que si era el mismo, debió eliminarlo aunque no se vea.



Además, si ya no lo encuentra en la carpeta C:\muestras, razón de peso !



Asi pues damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 14-06-2007