Bagle otra vez (SOLUCIONADO)

faroromano · Mensaje por **faroromano** » 05 Sep 2007, 13:15

Hoy me ha vuelto a saltar el antivirus con archivos infectados con el Bagle, ya no se que hacer

Mensaje por **msc hotline sat** » 05 Sep 2007, 13:26

Pues mira si el ELIBAGLA actual los controla, y sino, envianos muestras, ya sabes ...

Aparte, prueba el SPROCES y posteanos el log resultante, SPROCLOG.TXT y lo analizaremos, a ver si encontramos alguna causa, pues si no sabes por donde ha llegado (mail, spam), sino que ha sido por descarga de algun downloader o generado por algun dropper polimorfico que tengas, hemos de encontrar la fuente.

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

saludos

ms, 5-09-2007

faroromano · Mensaje por **faroromano** » 05 Sep 2007, 13:34

Wed Sep 05 13:32:21 2007

SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ANTIVIRUS\BIN\OPT_SECS.EXE

C:\ARCHIVOS DE PROGRAMA\ANTIVIRUS\BIN\KAVSS.EXE

C:\ARCHIVOS DE PROGRAMA\ANTIVIRUS\BIN\OPT_PMON.EXE

C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAGENT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\MSPMSPSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\CONCEPTRONIC\CONCEPTRONIC 54MBPS WIRELESS UTILITY\WLANMON.EXE

C:\ARCHIVOS DE PROGRAMA\ANI\ANIWZCS2 SERVICE\WZCSLDR2.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_02\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\UNLOCKER\UNLOCKERASSISTANT.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 6\LAUNCHAPPLICATION.EXE

C:\ARCHIVOS DE PROGRAMA\ANTIVIRUS\BIN\OPT_GUI.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\VIA\RAID\RAID_TOOL.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE

C:\ARCHIV~1\ARCHIV~1\PCSUITE\DATALA~1\DATALA~1.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\PC\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\89UZO9E7\SPROCES[1].EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: IEPlugin Class - {CF7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Archivos de programa\Advanced System Optimizer\IEHelper.dll

O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe" -H

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [OPTENET_OPTGUI_AV_TDE] C:\Archivos de programa\Antivirus\bin\OPT_GUI.exe

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Gamma Loader.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: Microsoft Office.lnk

O4 - Global Startup: VIA RAID TOOL.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: HushEncryptionEngine - https://mailserver5.hushmail.com/shared/HushEncryptionEngine.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://faroromano.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/ES13/D/cactivex.cab

O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} (InstallShield Setup Player 2K2) - http://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe

O16 - DPF: {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} (Java Plug-in 1.4.2_04) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {CAFEEFAC-0014-0002-0011-ABCDEFFEDCBA} (Java Plug-in 1.4.2_11) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} (Java Plug-in 1.5.0_08) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F416E7B0-1D02-4FD4-BFA9-02DD34204F0A}: NameServer = 80.58.61.250,80.58.61.254,80.58.61.250,80.58.0.33

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVerMedia, AVerTV WDM Video Capture (BT848) - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\drivers\BT848.sys

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Bluetooth Audio Service (BlueletAudio) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\blueletaudio.sys

O23 - Service: Bluetooth PAN Network Adapter (BT) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\btnetdrv.sys

O23 - Service: Bluetooth USB For Bluetooth Service (Btcsrusb) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\btcusb.sys

O23 - Service: Creative SoundFont Management Device Driver (ctsfm2k) - Creative Technology Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\ctsfm2k.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

O23 - Service: Dongle SigmaTel USB-IrDA (STIrUsb) - SigmaTel, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\irstusb.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Virtual Serial port driver (VComm) - IVT Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\VComm.sys

O23 - Service: Bluetooth VComm Manager Service (VcommMgr) - IVT Corporation - C:\WINDOWS\SYSTEM32\Drivers\VcommMgr.sys

O23 - Service: NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter (yukonwxp) - Marvell Semiconductor Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\yukonwxp.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

faroromano · Mensaje por **faroromano** » 05 Sep 2007, 13:40

Se me olvidaba, le he pasado el Elibagra 10.49 y no detecta nada

Wed Sep 05 11:32:44 2007

EliBagle v10.49 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Sep 05 11:32:52 2007

EliBagle v10.49 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 05 Sep 2007, 13:59

Si bien he estado mirando anteriores Bagles que has tenido y son del tipo que se reciben por e-mail, revisando el SPROCLOG vemos dos .cab lanzados por DPF, que mejor subelos al VirusTotal no sea que fueran viricos:

C:\WINDOWS\Java\classes\xmldso.cab

C:\WINDOWS\Java\classes\dajava.cab

analizalos con https://www.virustotal.com/es/ y nos cuentas el resultado, gracias

Pero lo que te decía antes, los otrso bagle eran de los que ser reciben por e.mail:

[quote]
03/Sep/2007:15:40:10 FILE c:\documents and settings\pc\configuración local\datos de programa\identities\{a6cd9c3e-ccd4-4829-8c5b-6cff58709300}\microsoft\outlook express\bandeja de salida.dbx Email-Worm.Win32.Bagle.jo NONE

03/Sep/2007:15:40:10 FILE c:\documents and settings\pc\configuración local\datos de programa\identities\{a6cd9c3e-ccd4-4829-8c5b-6cff58709300}\microsoft\outlook express\bandeja de salida.dbx Email-Worm.Win32.Bagle.jo NONE

03/Sep/2007:15:40:10 FILE c:\documents and settings\pc\configuración local\datos de programa\identities\{a6cd9c3e-ccd4-4829-8c5b-6cff58709300}\microsoft\outlook express\bandeja de salida.dbx Email-Worm.Win32.Bagle.jo NONE

03/Sep/2007:15:40:10 FILE c:\documents and settings\pc\configuración local\datos de programa\identities\{a6cd9c3e-ccd4-4829-8c5b-6cff58709300}\microsoft\outlook express\bandeja de salida.dbx Email-Worm.Win32.Bagle.jo NONE

03/Sep/2007:15:40:42 FILE c:\muestras\flec006.exe.muestra elibagle v10.rar Email-Worm.Win32.Bagle.jo QUARANTINE

03/Sep/2007:15:40:42 FILE c:\muestras\flec006.exe.muestra elibagle v10.rar Email-Worm.Win32.Bagle.jo QUARANTINE

03/Sep/2007:15:41:08 FILE c:\muestras\nueva carpeta\flec006.exe.muestra elibagle v10.48 Email-Worm.Win32.Bagle.jo QUARANTINE
[/quote]

por ello, estas seguro que no abres algun fichero anexo a un mail que recibes, y que es por elloo que te infectas.

Ni que decir tiene que al ser nuevo no lo va a detectar el antivirus, pero es el usuario quien tiene que vigilar y no abrir ficheros anexados a mails, sean de quien fueren.

Pero si lo han hecho, digannoslo para no seguir vuscando la causa...

saludos

ms, 5-09-2007

faroromano · Mensaje por **faroromano** » 05 Sep 2007, 14:15

Como puedes comprobar estan en la bandeja de enviados, pues son las muestras que envie ayer.

Ya los he borrado.

Otra cosa, en la carpeta que me has puesto de java para analizar, solo tengo un archivo "osp.cer"

Mensaje por **msc hotline sat** » 05 Sep 2007, 14:54

Ya es que no sabía si eran enviados a nosotros o a quien, pues normalmemte se propaga por mail ...

Entonces crees que no fue por abriri ningun anexado a un mail ???

Pues si tal como dices no hay mas ficheros en la carpeta C:\WINDOWS\Java, vamoa a hacer limpieza, elimina estas claves:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

a ver si con ello cesa esta regeneracion de Bagles ...

Tambien se les llama Glieder, voy a ver si dicen algo nuevo al respecto por ahí ...

saludos

ms, 5-09-2007

faroromano · Mensaje por **faroromano** » 05 Sep 2007, 15:25

No me deja entrar en modo seguro, como lo hago?

Mensaje por **msc hotline sat** » 05 Sep 2007, 15:28

Con el ELIBAGLA actual, y enseguida cierra y arranca pulsando repetidamente F8 para escoger dicho modo

ms.

faroromano · Mensaje por **faroromano** » 05 Sep 2007, 15:42

Creo que no me he explicado bien.

Pulso F8 y marco modo seguro,le doy a enter entonces se me queda el monitor en negro con un guion arriba parpadeando

Mensaje por **msc hotline sat** » 05 Sep 2007, 15:44

Respecto a las muestras que envio de la carpeta Bonjour, no se detectan rutinas viricas, pero si no sabe lo que es, muevalos todo a otra carpeta, por si acaso... Me informan que parecen ser de Apple Computer.

Y buscando informacion reciente, en VSAntivirus hoy hablan de una nueva variantre de bagle que crea un fichero downloader con nombre aleatorio, en la carepeta de sistema, el cual descarga nuevos bagles de una web predeterminada...

http://www.vsantivirus.com/bagle-ir.htm

Me temo que estemos ante esta nueva variante, y hasta que no encontremos el downloader para controlarlo, descargará mas y mas Bagles de donde los hay !

Voy a ver si encontramos mas datos para controlar a este downloader...

saludos

ms, 5-09-2007

Mensaje por **msc hotline sat** » 05 Sep 2007, 16:17

Todos hablan de mas de lo mismo, pero nadie detecta el fichero de nombre aleatorio que dicen que se crea en la carpeta de sistema y descarga de varias webs nuevas variantes de Bagle, y me temo que sea el caso.

Aparte, recuerdo que el bagle usana Rootkits, y si se les ha ocurrido emplearlo para ocultar el proceso de dicho troyano, su clave de carga y su actividad, ni lo vamos a ver con los logs ni con segun qué antivirus.

Por si fuera el caso, cuando pueda arrancar en modo seguro, nos postea el SPROCLOG del SPROCES pero generado an dicho modo seguro, a ver si vemos algo mas, que no nos deje verlo en modo normal.

Pero sino, iremos analizando las nuevas muestras de Bagle, que por cierto he preguntado si habian llegado las suyas de hoy y me han dicho que no, no se olvide de enviarlas cuando pueda, gracias

saludos

ms, 5-09-2007

Mensaje por **msc hotline sat** » 05 Sep 2007, 16:48

Y ya buscando cinco pies al gato, miar si con esto encuentras algo:

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

y sino:

[size=150][color=green]Herramienta Anti-Rootkit

Grisoft amplía su oferta de aplicaciones gratuitas de seguridad [/color][/size]

faroromano · Mensaje por **faroromano** » 05 Sep 2007, 18:29

[quote="msc hotline sat"]Y ya buscando cinco pies al gato, miar si con esto encuentras algo:

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

y sino:

[size=150][color=green]Herramienta Anti-Rootkit

Grisoft amplía su oferta de aplicaciones gratuitas de seguridad [/color][/size][/quote]
He pasado el antivirus en memoria y no detecta nada, el Anti-Roolkit tampoco.

Los archivos infectados de hoy no me deja enviarlos, estan en sistem32/driver y cuando intento copiarlos y ponerlos en una carpeta para enviar el antivirus me los envia a cuarentena

faroromano · Mensaje por **faroromano** » 05 Sep 2007, 19:19

He copiado los archivos de la carpeta de cuarentena y os los envio

Podria borrarlos pero no se si son validos para los drivers

Saludos

faroromano · Mensaje por **faroromano** » 05 Sep 2007, 19:50

Logfile of HijackThis v1.99.1

Scan saved at 19:42:21, on 05/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\pc\CONFIG~1\Temp\Rar$EX00.016\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: IEPlugin Class - {CF7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Archivos de programa\Advanced System Optimizer\IEHelper.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe" -H

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [OPTENET_OPTGUI_AV_TDE] C:\Archivos de programa\Antivirus\bin\OPT_GUI.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: HushEncryptionEngine - https://mailserver5.hushmail.com/shared/HushEncryptionEngine.cab

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://faroromano.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/ES13/D/cactivex.cab

O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} (InstallShield Setup Player 2K2) - http://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F416E7B0-1D02-4FD4-BFA9-02DD34204F0A}: NameServer = 80.58.61.250,80.58.61.254,80.58.61.250,80.58.0.33

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Antivirus - Telefónica de España - C:\Archivos de programa\Antivirus\bin\OPT_SecS.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Mensaje por **msc hotline sat** » 05 Sep 2007, 21:24

Cuando pasa esto, se desactiva el antivirus o se arranca en modo seguro para que no esté activo, y se empaquetan los ficheros sospechosos en un zip o rar con password VIRUS y asi luego arrancando en modo normal no los pueden detectar, por estar encriptados.

Pero si lo has logrado de otra manera, la cuestion es que los recibamos para poder analizarlos y controlarlos

Mañana, cuando volvamos al trabajo en SATINFO, espero que los tengamos y podamos proceder

Y me miro el log, por si veo algo mas...

pues aparte de tener instalado un proxy:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

que supongo que ya sabes, tu log está limpio.

saludos

ms, 5-09-2007

faroromano · Mensaje por **faroromano** » 06 Sep 2007, 08:30

Buenos dias!

Si que sabia lo del proxy, tengo ADSL con Telefonica y segun creo todos llevan PROXY CACHE.

En referencia a los archivos infectados, anoche comprobre en otro pc la carpeta windows/system32/drivers y vi que no tenia los archivos que a mi me aparecian como infectados y pude comprobar que tenian fecha de creacion 2/9/2007 asi que los elimine.

Ya os ire contando los resultados.

Un saludo

Mensaje por **msc hotline sat** » 06 Sep 2007, 09:58

Pues no tiene nada que ver lo del proxy que tiene instalado con que su ISP sea Telefonica que usa proxy caché:

Los ISP pueden almacenar las webs mas consultadas en sus ordenadores, para, cuando se solicita acceso a ellas, en lugar de gastar ancho de banda y llegar a la web en cuestion, de momento acceder a lo que tienen de ello en su disco duro, y solo si se quiere seguir nevagendo, acceden realmente a ella. Esto es una ventaja de velocidad, pero es un handicap para los que cada dia cambiamos versiones, pues lo que muestran es la pagina capturada, puede que del dia anterior, y consecuentemente retrasada. por ello tuvimos que hacer en SATINFO una pagina de entrada neutra, para que la que muestre sea válida, y no atrasada, propia del caché.

En cambio tener un proxy instalado en su ordenador es poder navegar a través de él, con lo que pueden replicar spams, mails masivos y demas malicias remotamente, saliendo con su IP, pero tambien puede usarse para permitir a otro ordenador de su Red, salir a Internet , en lugar de usar un hub o un switch, lo cual se emplea alternativamente, pero si Vds no lo emplean, elimine la clave, no sea que la empleen otros remotamente...

Bueno, aclarado esto, han llegado sus muestras de ficheros que ni tiene extension ni formato ejecutable, por lo cual son restos inocuos, o puede que simplemente temporales usados en la infeccion, pero que ahora no sirven. Proceda a eliminarlos simplemente, borrandolos y listos.

Y ya puede probar el ELIBAGLA 10.50 que controla el último Bagle conocido, y a ver si damos el golpe de gracia a su ordenador...

y sino, hasta el proximo Bagle :wink:

saludos

ms, 6-09-2007

faroromano · Mensaje por **faroromano** » 06 Sep 2007, 10:06

En respuesta a:

En cambio tener un proxy instalado en su ordenador es poder navegar a través de él, con lo que pueden replicar spams, mails masivos y demas malicias remotamente, saliendo con su IP, pero tambien puede usarse para permitir a otro ordenador de su Red, salir a Internet , en lugar de usar un hub o un switch, lo cual se emplea alternativamente, pero si Vds no lo emplean, elimine la clave, no sea que la empleen otros remotamente...

Tengo tres ordenadores en red, si elimino esa clave los otros ordenadores dejarian de tener acceso a internet?

Mensaje por **admin** » 06 Sep 2007, 10:14

Es mejor ponerse un router, que tener que depender de un proxy ademas de que tiene que estar ese pc conectado para que el resto de PC tengan internet, con un router eso no pasaria serian pc autonomos en relacion a internet y asi evitariamos esas complicaciones.

Lo que telefonica utilize un proxy cache, ellos lo utilizan para ahorrar costes suyos.

Añadir que con un hub o swicht tendria el mismo problema dependeria del pc que tenga internet para funcionar lo que con un router no.

faroromano · Mensaje por **faroromano** » 06 Sep 2007, 10:33

Tengo un router puesto. Comentar otra cosa que me sucede esta mañana: me desaparece el icono del antivirus de la barra y en programas no me deja abrirlo. Otra cosa, pase el Elibagla 10.50 y todo bien, pego el txt.

Y por favor, decidme como elimino la entrada de registro del proxy soy algo torpe para estas cosas.

Gracias

Un saludo

Wed Sep 05 11:32:44 2007

EliBagle v10.49 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Sep 05 11:32:52 2007

EliBagle v10.49 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Sep 05 16:17:12 2007

EliBagle v10.49 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Sep 05 16:17:14 2007

EliBagle v10.49 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Sep 06 10:07:12 2007

EliBagle v10.50 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Sep 06 10:07:18 2007

EliBagle v10.50 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 06 Sep 2007, 10:50

Como navegan ? a traves de est proxy o directamente a traves del router.

Este podria hacer de servidor siempre que las demas de tu red tuvieran configuado la navegacion a traves de proxy. Ello lo puyedes ver en dichas máquinas abriendo el I.E. y dentro de Herramientas->Opciones de Internet-> Conexiones-> Conexion de la LAN y ves si el apartado de proxy está o no activado, teniendo marcada la casilla de Usar Servidor proxy para la LAN, e la direccion de la IP de intranet del servidor proxy en cuestion.

SI tus maquinas no salen por este proxy, sino directamente por el router, puedes eliminar esta clave de tu máquina, que podría propiciar el uso indebido de tu PC , y de tu acceso a Internet, como hacen los que envian Spams a través de máquinas zombie.

Y cambiando de asunto, los ficheros restos de Bagle que nos has enviado, contienen dentro un ejecutable que no es operativo desde dichos ficheros, pero que podría ser extraido y utilizado para la regeneracion del bagle e cuestion, pues lo hemos extraido y enviado a VirusTotal indicandonos contener Bagle:

[quote]File EXE_extraido_de_restos_de_BAGLE_s received on 09.06.2007 10:39:10 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result:

Loading server information...

Your file is queued in position: 1.

Estimated start time is between 37 and 53 seconds.

Do not close the window until scan is complete.

The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.

If you are waiting for more than five minutes you have to resend your file.

Your file is being scanned by VirusTotal in this moment,

results will be shown as they're generated.

Compact Print results

Your file has expired or does not exists.

Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Email:

Antivirus Version Last Update Result

AhnLab-V3 2007.9.5.0 2007.09.06 -

AntiVir 7.6.0.5 2007.09.06 Worm/Bagle.JN

Authentium 4.93.8 2007.09.06 -

Avast 4.7.1029.0 2007.09.05 Win32:Beagle-WF

AVG 7.5.0.485 2007.09.05 I-Worm/Bagle.XL

BitDefender 7.2 2007.09.06 -

CAT-QuickHeal 9.00 2007.09.05 -

ClamAV 0.91.2 2007.09.06 -

DrWeb 4.33 2007.09.05 Win32.HLLM.Beagle.45120

eSafe 7.0.15.0 2007.09.04 Win32.Bagle.jn

eTrust-Vet 31.1.5114 2007.09.06 -

Ewido 4.0 2007.09.05 -

FileAdvisor 1 2007.09.06 -

Fortinet 3.11.0.0 2007.09.06 W32/Bagle.JN@mm

F-Prot 4.3.2.48 2007.09.06 -

F-Secure 6.70.13030.0 2007.09.06 Email-Worm.Win32.Bagle.jn

Ikarus T3.1.1.12 2007.09.06 Email-Worm.Win32.Bagle.jn

Kaspersky 4.0.2.24 2007.09.06 Email-Worm.Win32.Bagle.jn

McAfee 5113 2007.09.05 -

Microsoft 1.2803 2007.09.06 -

NOD32v2 2508 2007.09.06 Win32/Bagle.JG

Norman 5.80.02 2007.09.05 W32/Bagle.AAQ

Panda 9.0.0.4 2007.09.06 -

Additional information

File size: 61398 bytes

MD5: 320b8a68c54b3cd4cfb520f190a2ba2a

SHA1: 1e64945240e83af7e223487a8ffc2990ccbe42e7
[/quote]

Asi que pasamos a implementarlo en la nueva version del ELIBAGLA, si bien al no tener extension y tener, delante del MZ de inicio de .EXE, 533 bytes de paja o datos que impiden detectarlo, pero por si copiara dicho fichero EXE en alguna carpeta, sería detectado y eliminado.

Asi mismo enviamos muestra del mismo a McAfee, para su control en proximos DAT con el VShield residente.

Esta tarde subiremos la nueva verison del ELIBAGLA 10.51, pruebala ...

saludos

ms, 6-09-2007

ms, 6-09-2007

faroromano · Mensaje por **faroromano** » 06 Sep 2007, 11:17

Bueno, ya elimine la clave de registro

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

Ahora, no se si tendre algun programilla por ahi instalado que sea el del proxy

Mensaje por **msc hotline sat** » 06 Sep 2007, 11:27

No, si el proxy lo incluye el sistema operativo, de hecho es usable pero con buenos fines, lo que pasa es que lo instalan para salir remotamente a Internet cargando el mochuelo al zombie !

Tranquilo que ya vas dejandolo limpito, limpito...

saludos

ms, 6-09-2007

faroromano · Mensaje por **faroromano** » 06 Sep 2007, 15:31

Ahora tengo problemas con Outlook Espress, al abrirlo me da este mensaje:

Puede que un archivo de almacén de Outlook Express esté dañado. Utilice una herramienta como ScanDisk para comprobar y reparar cualquier archivo dañado. Cuenta: 'pop.gmail.com', Servidor: 'pop.gmail.com', Protocolo: POP3, Puerto: 995, Seguridad (SSL): Sí, Número de error: 0x800C0155

Mensaje por **msc hotline sat** » 06 Sep 2007, 15:50

Parece un error bastante típico, ya que con el Google se obtienen mas de 500 paginas de ayuda al respecto:

http://www.google.es/search?hl=es&q=+0x800C0155&btnG=Buscar&meta=

Efectivamente parece un archico dañado, lanza una comprobacion de errores a ver si lo solucionas, y sino, ves mirando las paginas del link.

Y nos comentas el resultado, gracias

saludos

ms, 6-09-2007

faroromano · Mensaje por **faroromano** » 07 Sep 2007, 08:42

[quote="msc hotline sat"]Parece un error bastante típico, ya que con el Google se obtienen mas de 500 paginas de ayuda al respecto:

http://www.google.es/search?hl=es&q=+0x800C0155&btnG=Buscar&meta=

Efectivamente parece un archico dañado, lanza una comprobacion de errores a ver si lo solucionas, y sino, ves mirando las paginas del link.

Y nos comentas el resultado, gracias

saludos

ms, 6-09-2007[/quote]

Por lo que he estado leyendo, lo mejor es desistalar el explorer y volverlo a instalar, pero hay que cambiar entradas de registro y hasta ahi no llego.

De momento sin señal de Bagle.

Un saludo

faroromano · Mensaje por **faroromano** » 07 Sep 2007, 08:54

Pasado el ultimo Elibagra 10.51, pego el resultado

Wed Sep 05 11:32:44 2007

EliBagle v10.49 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Sep 05 11:32:52 2007

EliBagle v10.49 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Sep 05 16:17:12 2007

EliBagle v10.49 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Sep 05 16:17:14 2007

EliBagle v10.49 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Sep 06 10:07:12 2007

EliBagle v10.50 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Sep 06 10:07:18 2007

EliBagle v10.50 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Sep 07 08:46:40 2007

EliBagle v10.51 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Sep 07 08:46:42 2007

EliBagle v10.51 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 07 Sep 2007, 09:12

De Bagle ya ni ratro. Sugiero que por lo indicado, REPARES WINDOWS:

[quote="para REPARAR WINDOWS, msc"]

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

y nos cuentas el resultado, gracias

saludos

ms, 7-09-2007