Spybot no es una aplicación win32 válida (SOLUCIONADO)

[nitsuga]

Hola buenas noches a todos:



Tengo un problema grave, ayer formateé el ordenador ya que en dos años no lo había hecho y además iba demasiado lento y funcionaba mal.



Hoy se notaba la diferencia y cuando he empezado a instalar nuevos programas, me he dado cuenta de cuando he instalado "Daemon Tools" que el Antivirus (Mcafee) ha quedado casi inutilizable, ya que me dice que mi protección contra virus no esá instalada, que windows update está desactivado, windows firewall está desactivado y demás. Entonces le doy a solucionar problemas, pero me dice "uno o más problemas no han podido solucionarse debido a un error".



Lo desisntalé, pero no me deja volverlo a instalar, da error.



Además, intento ejecutar el Spybot y me dice que "no es una aplicación win32 válida", lo desinstalo y lo vuelvo a instalar y sigue ocurriendo lo mismo.



Por otro lado, tenía también el Ccleaner, y ni siquiera se ejecuta.



He leido por ahí y creo que tiene que ver con algo llamado Bagle



Me he bajado el Elibagla y aquí os dejo el txt:




[quote] Mon Feb 25 23:09:50 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Mon Feb 25 23:12:06 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 4882

Nº Total de Ficheros: 62923

Nº de Ficheros Analizados: 10493

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Mon Feb 25 23:24:48 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Reinicie para Completar la Limpieza.



Mon Feb 25 23:28:11 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Reinicie para Completar la Limpieza.



Mon Feb 25 23:28:19 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 4877

Nº Total de Ficheros: 62924

Nº de Ficheros Analizados: 10493

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1[/quote]

Gracias y un saludo.

[Claudia34]

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y para complementar (opcional en algunos casos):



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469





Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/



Y pruebate el kaspersky antivirus online este que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.







Saludos.

[msc hotline sat]

Aparte de lo indicado, ahora que ya puedes arrancar en modo segur0 (antes una clave modificada por el BAGLE lo impedia) , arranca en dicho modo y prueba por ultima vez el ELIBAGLA, y nos posteas el infosat.txt para ver el resultado del proceso, gracias



saludos



ms, 26-2-2008

[nitsuga]

Buenos dias, lo primero pedir disculpas por abrir un mismo tema cuando ya estaba abierto, la verdad que vi el problema, pero pensé que podría ser por distintas causas. Mil perdones.



Bueno he copiado y pegado mi problema, muchas gracias.



Tengo un problema grave, ayer formateé el ordenador ya que en dos años no lo había hecho y además iba demasiado lento y funcionaba mal.



Hoy se notaba la diferencia y cuando he empezado a instalar nuevos programas, me he dado cuenta de cuando he instalado "Daemon Tools" que el Antivirus (Mcafee) ha quedado casi inutilizable, ya que me dice que mi protección contra virus no esá instalada, que windows update está desactivado, windows firewall está desactivado y demás. Entonces le doy a solucionar problemas, pero me dice "uno o más problemas no han podido solucionarse debido a un error".



Lo desisntalé, pero no me deja volverlo a instalar, da error.



Además, intento ejecutar el Spybot y me dice que "no es una aplicación win32 válida", lo desinstalo y lo vuelvo a instalar y sigue ocurriendo lo mismo.



Por otro lado, tenía también el Ccleaner, y ni siquiera se ejecuta.



He leido por ahí y creo que tiene que ver con algo llamado Bagle



Me he bajado el Elibagla y aquí os dejo el txt:




[quote]Mon Feb 25 23:09:50 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Mon Feb 25 23:12:06 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 4882

Nº Total de Ficheros: 62923

Nº de Ficheros Analizados: 10493

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Mon Feb 25 23:24:48 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Reinicie para Completar la Limpieza.



Mon Feb 25 23:28:11 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Reinicie para Completar la Limpieza.



Mon Feb 25 23:28:19 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 4877

Nº Total de Ficheros: 62924

Nº de Ficheros Analizados: 10493

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1[/quote]

Gracias y un saludo

[nitsuga]

Nuevamente perdón, el ansia de intentar arreglarlo sólo ha empeorado la cosa, he copiado y pegado cuando ya estaba copiado y pegado, eso me pasa por no leer el comienzo.



Lo siento, además ya se que no se debe postear dos veces seguidas. De errores se aprende.



Voy a intentar si puedo solucionarlo con estos programas que me habeis comentado.



Muchas gracias por todo y un saludo

[msc hotline sat]

Pues informanos del resultado.



saludos



ms, 26-2-2008

[nitsuga]

Buenas tardes:



Esto es increible, debo estar gafado o algo así porque no puedo iniciar en modo seguro. Al pulsar repetidamente F8, me aparece el siguiente mensaje:


[quote]Please select boot device:



SS-HL-DT-ST DVDRAM GSA-HL4N

3M-ST 3250823AS[/quote]

Me da estas dos opciones a elegir, y tanto si doy a escape como si elijo cualquiera de las dos, me manda a la pantalla de opciones a elegir entre modo seguro, modo seguro con funciones de red y modo normal.



Elijo modo seguro, pero tras unos segundos, el ordenador se reinicia.



Además, e intentado ejecutar el HiJackThis en modo normal pero, al igual que el Spybot, me dice que no es una aplicación Win32 válida.



Entonces, he ejecutado en modo normal el Elistara y el Elitriip pero al intentar postear el log de cada uno de ellos se bloqueaba continuamente internet.



Además, no se si es coincidencia, pero tampoco puedo abrir el messenger.



Que puedo hacer?



Muchas gracias por todo y un saludo.

[msc hotline sat]

Mira si logras arrancar en modo seguro y vuelves a pasar el ELIBAGLA...



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



Si no detectamos nada, ya puedes probar el SPROCES y postearnos el SPROCLOG.TXT:





SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT :



saludos



ms, 26-2-2008





NOTA:



Piensa que los Bagle corrompen los ejecutables de los anti..., por ello es normal que te salga "No es una aplicacion WIN32 valida" cuando ejecutas uno de ellos... , POR ELLO PENSAMOS QUE PERSISTE ALGO RELACIONADO CON BAGLE.



O que tras eliminarlo, aun no has desisntalado e instalado de nuevo estas aplicaciones .



ms.

[nitsuga]

Buenas noches:



Después de poder arrancarlo en modo seguro (no sé por qué antes no se podría, que cosas), he conseguido pasar el Elibagla, Elistra y Elitriip. Además, como bien me habeis dicho anteriormente, desinstalé tanto el Spybot como el HiJackThis y los volvía a instalar, de esa manera ahora si que los he podido ejecutar.



He ejecutado el HiJackThis en modo seguro, al igual que Ad-Adware SE, el cual me detectó 4 problemas y los eliminó. Ahora estoy ejecutando el Spybot en modo normal a ver lo que encuentra.



Parece que todo ha vuelto a la normalidad, ya que he desinstalado el Mcafee y lo he podido volver a instalar sin problema alguno y ahora funciona a la perfección.



De todos modos, voy a pegar los logs para que le echeis un vistazo, por si hay que hacer algo.



[u]Elistra[/u]


[quote] Tue Feb 26 21:49:59 2008

EliStartPage v15.73 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4953

Nº Total de Ficheros: 63498

Nº de Ficheros Analizados: 19109

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/quote]

[u]Elitriip[/u]


[quote] Tue Feb 26 22:04:49 2008

EliTriIP v4.43 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Archivos de programa\HP\Temp\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)



Nº Total de Directorios: 4952

Nº Total de Ficheros: 63499

Nº de Ficheros Analizados: 17721

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2[/quote]

[u]Elibagla[/u]


[quote] Tue Feb 26 22:04:49 2008

EliTriIP v4.43 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Archivos de programa\HP\Temp\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)



Nº Total de Directorios: 4952

Nº Total de Ficheros: 63499

Nº de Ficheros Analizados: 17721

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Tue Feb 26 22:06:47 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle



Tue Feb 26 22:07:00 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\104968.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\125625.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\140406.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\14672734.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\156609.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\1623187.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\1639234.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\84203.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\92453.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\98515.EXE --> Eliminado Bagle



Nº Total de Directorios: 4952

Nº Total de Ficheros: 63496

Nº de Ficheros Analizados: 10529

Nº de Ficheros Infectados: 11

Nº de Ficheros Limpiados: 11[/quote]

[u]HiJackThis [/u]


[quote]Logfile of HijackThis v1.99.1

Scan saved at 22:46:49, on 26/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7

O4 - HKLM\..\Run: [DataLayer] C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [0253021203970477mcinstcleanup] C:\DOCUME~1\AGUSTN~1\CONFIG~1\Temp\025302~1.EXE C:\ARCHIV~1\ARCHIV~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\AGUSTÍN\Escritorio\Nueva carpeta\ELIBAGLA.06032008.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_install/_activex/en-US/TSEasyInstallX.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{4E0821D9-9690-436D-A342-F4551E77B9F0}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mclogsrv.exe

O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe

O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe

O23 - Service: McAfee Real-time Scanner (McShield) - Unknown owner - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe (file missing)

O23 - Service: McAfee SystemGuards (McSysmon) - Unknown owner - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe (file missing)

O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mctskshd.exe

O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcusrmgr.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Documents and Settings\AGUSTÍN\Mis documentos\Otros\Alcohol 120 %\Alcohol 120\StarWind\StarWindService.exe[/quote]

Pd: Tengo una duda respecto a cuando estoy ejecutando el Spybot, ya que el ventilador se me dispara bastante, no sé si esto es normal.



Muchisimas gracias por todo. Un saludo.

[Claudia34]

Con respecto a que se dispara el ventilador cuando escaneas con spybot, te dire que no tiene nada que ver el software que estes utilizando con el ventilador de la cpu o de la fuente.

Y intenta escanear con los antivirus online recomendados ademas del kaspersky, y este ultimo peganos el informe para obrar en cosecuencia.



Saludos.

[msc hotline sat]

Pues el que se active el ventilador es por la mayor temperatura que provoca el intenso uso de la CPU al pasar el Spybot, que como cualquier otro antivirus, cuando escanea satura el uso de la misma, con el consiguiente aumento de la temperatura.



Y el log del HJT ya está limpio.



Sin duda el BAGLE, detectado y eliminado por el ELIBAGLA como vemos en el informe:


[quote]Tue Feb 26 22:06:47 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.05

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle



Tue Feb 26 22:07:00 2008

EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\104968.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\125625.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\140406.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\14672734.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\156609.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\1623187.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\1639234.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\84203.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\92453.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\98515.EXE --> Eliminado Bagle



Nº Total de Directorios: 4952

Nº Total de Ficheros: 63496

Nº de Ficheros Analizados: 10529

Nº de Ficheros Infectados: 11

Nº de Ficheros Limpiados: 11[/quote]

era la causa de tus problemas, y una vez eliminado ya puedes volver a arrancar en modo seguro (que por culpa del mismo no podías), [b][i]si bien ahora tienes que desinstalar los anti... que haya dañado y volverlos a instalar[/i][/b], pues ya es conocido que el Bagle los corrompe y luego su ejecucion acostumbra a indicar que "[b][i]no es una aplicacion válida win32[/i][/b]".



Y con ello damos el Tema por solucionado y procedemos a cerrarlo.



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 27-2-2008