Bagle o lo que queda de el.

horace · Mensaje por **horace** » 14 Oct 2008, 12:54

Buenos días,

Llevo ya casi 2 días luchando contra lo que queda del bagle en mi sistema. Creedme que ya he probado TODO lo que hay escrito por aqui (aunque estoy dispuesto a volver a intentarlo con tal de no tener que formatear).

Ahora me he quedado atascado en las claves de registro inválidas. No las puedo borrar con nada. Por supuesto que manualmente no me deja la máquina, pero tampoco con el RegAssasin ni nada semejante. Ahora mismo el sistema está "estable" ya que los unicos síntomas quer percibo son un cartelito de que Run32dll dejó de funcionar, puedo ejecutar los controles ActiveX y no puedo desactivar el control de cuentas de usuario (si, tengo Vista).

Os pego el log del Hijack. Obviamente ya he intentado quitar la clave O4 - HKCU\..\Run: [german.exe] C:\Windows\system32\wintems.exe pero no hay manera. Por cierto que el wintems.exe no existe en mi máquina.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:43:24, on 14/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:

Código: Seleccionar todo

C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DoroPDFWriter\DoroServer.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows.old\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\NDAS\System\ndasmgmt.exe
C:\Program Files\Panda Security\Panda Antivirus 2008\ApvxdWin.exe
C:\Program Files\Panda Security\Panda Antivirus 2008\WebProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.finance.yahoo.com/p?k=eupf_3
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DoroServer] C:\Program Files\DoroPDFWriter\DoroServer.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [LanzarL2007] "C:\Users\horace\AppData\Local\Temp\{4CDEA5FB-4067-4B55-9E0A-9EC8C98E3B52}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x000a"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Windows.old\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [german.exe] C:\Windows\system32\wintems.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'Servicio de red')
O4 - Global Startup: NDAS Device Management.lnk = C:\Program Files\NDAS\System\ndasmgmt.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/download/scanner/en-us/wlscctrl2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDEC9572-2DC4-4E11-8688-A8D03BC55920}: NameServer = 212.4.96.21,212.4.96.22
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Program Files\NDAS\System\ndassvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Security\Panda Antivirus 2008\PsCtrls.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Security\Panda Antivirus 2008\pavsrvx86.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Security\Panda Antivirus 2008\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Software International - C:\Program Files\Panda Security\Panda Antivirus 2008\PskSvc.exe

--
End of file - 6481 bytes

Las claves de registro que aparentemente tengo mal son:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVG_ANTI-SPYWARE_DRIVER

y algunas otras semejantes...

Tengo instaladas, reinstaladas, ejecutadas y recontraejecutadas todas las aplicaciones habituales (incluido el elibagla). Puedo arrancar en modo a prueba de fallos así que también lo he intentado por ahí.

Cualquier ayuda será bienvenida.

Muchas gracias

Mensaje por **msc hotline sat** » 14 Oct 2008, 15:07

Y se olvida de la HKCU\..\Run: [german.exe] C:\Windows\system32\wintems.exe ...

Pero ha probado el ELIBAGLA ???

Ha leido lo que decimos para los bagles resistentes ???

viewtopic.php?f=5&t=23824

Si tiene algun problema al respecto, posteenos el contenido de c:\infosat.txt, gracias

saludos
ms, 14-10-2008

horace · Mensaje por **horace** » 14 Oct 2008, 15:16

Si, ya lo he puesto más arriba. He probado el elibagla. No me saca ninguna infección ni archivo eliminado ya. Pero se pasa media ejecución diciéndome que no ha podido acceder a algunas carpetas.Por lo demás todo limpio.

Este es el contenido del archivo.

Mon Oct 13 10:29:53 2008
EliBagle v11.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

	  Mon Oct 13 10:30:00 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Users\horace\AppData\Roaming\m\FLEC006.EXE --> Eliminado Bagle
C:\Windows\System32\MDELK.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\116484.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\146562.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\15176171.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\15181375.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\277453.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\282156.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\286484.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\291921.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\29866843.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\29891171.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\299000.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\44606390.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\44614125.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\44618343.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\515281.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\519093.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\59269531.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\59271046.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\602296.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\73809015.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\73813406.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\813250.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\821125.EXE --> Eliminado Bagle
C:\Windows.old\Users\horace\AppData\Local\Temp\Temp1_Easy_DVD_Shrink_3.0.22_(Cracked).zip\EASY_DVD_SHRINK_3.0.22_(CRACKED).EXE --> Eliminado Bagle.dldr
C:\Windows.old\Windows\System32\STTRAY.EXE --> Eliminado Bagle.dldr
C:\Windows.old\Windows\System32\drivers\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\Windows.old\Windows\System32\drivers\downld\14790437.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\14797187.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\14800812.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\177484.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\182875.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\190984.EXE --> Eliminado Bagle

Nº Total de Directorios:   35331
Nº Total de Ficheros:      205543
Nº de Ficheros Analizados: 29348
Nº de Ficheros Infectados: 34
Nº de Ficheros Limpiados:  34

	  Mon Oct 13 10:51:22 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   35331
Nº Total de Ficheros:      205509
Nº de Ficheros Analizados: 29314
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Oct 13 10:56:00 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   35331
Nº Total de Ficheros:      205510
Nº de Ficheros Analizados: 29314
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Oct 13 18:09:22 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Mon Oct 13 18:09:31 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   35268
Nº Total de Ficheros:      197911
Nº de Ficheros Analizados: 29244
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Oct 13 18:58:36 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Mon Oct 13 18:58:38 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   635
Nº Total de Ficheros:      8408
Nº de Ficheros Analizados: 1029
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

	  Tue Oct 14 09:07:23 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Oct 14 09:07:24 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   26279
Nº Total de Ficheros:      152227
Nº de Ficheros Analizados: 18824
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

A mi no me pasas lo del arranque con el edibagla así que el post de bagle rresistentes no me aplica (ya lo había leído).

Muchas gracias,

H

msc hotline sat escribió:Y se olvida de la HKCU\..\Run: [german.exe] C:\Windows\system32\wintems.exe ...

Pero ha probado el ELIBAGLA ???

Ha leido lo que decimos para los bagles resistentes ???

Si tiene algun problema al respecto, posteenos el contenido de c:\infosat.txt, gracias

saludos

ms, 14-10-2008

Mensaje por **msc hotline sat** » 14 Oct 2008, 15:21

Pues el ELIBAGLA ha detectado y eliminado una buena coleccion de bagles en su ordenador :

Nº de Ficheros Infectados: 34
Nº de Ficheros Limpiados: 34 ...

Ahora pruebe de arrancar en modo seguro, si ya puede, y probar de nuevo el ELIBAGLA, tal como decimos en el link de los bagles resistentes

Y nos informa del resultado, gracias

y si quiere, elimine esta clave de marras: 04 - HKCU\..\Run: [german.exe] C:\Windows\system32\wintems.exe ...

y si arrancando en modo seguro encuentra este C:\Windows\system32\wintems.exe, renombre su extension a .VIR y luego nos envia una muestra del mismo.

recuerde para ello:
¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

horace · Mensaje por **horace** » 14 Oct 2008, 15:25

Si, ya lo se. Ya he comentado que puedo arrancar en modo seguro hace rato. Y he pasado el elibagla con los resultados que se ven en el post. ¿?

msc hotline sat escribió:Pues el ELIBAGLA ha detectado y eliminado una buena coleccion de bagles en su ordenador :

Nº de Ficheros Infectados: 34
Nº de Ficheros Limpiados: 34 ...

Ahora pruebe de arrancar en modo seguro, si ya puede, y probar de nuevo el ELIBAGLA, tal como decimos en el link de los bagles resistentes

Y nos informa del resultado, gracias

y si quiere, elimine esta clave de marras: 04 - HKCU\..\Run: [german.exe] C:\Windows\system32\wintems.exe ...

y si arrancando en modo seguro encuentra este C:\Windows\system32\wintems.exe, renombre su extension a .VIR y luego nos envia una muestra del mismo.

recuerde para ello:
¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

Mensaje por **msc hotline sat** » 14 Oct 2008, 15:38

Conentando con los de procesos que tras pasar el ELIBAGLA persistía la clave del WINTEMPS, me comentan que puede ser uno de los no controlados, pues estan llegando a diario cantidda de muestras variantes de Bagle.

Independiente de la muestra que nos envie, hoy hay mas de 20 nuevas muestras de Bagle para controlar, asi que esta noche descargue de nuevo el ELIBAGLA (será el 11.84) y tras probarlo nos postea el infosat.txt.

Y mejor en modo seguro, y como que usa VISTA, para ejecutarlo hagalo con boton derecho sobre su icono y dandole permisos de administrador, como es aconsejable hacer con todas las aplicaciones con este dichoso sistema !

saludos

ms, 14-10-2008

horace · Mensaje por **horace** » 14 Oct 2008, 15:47

Ok, eso haré.

Lo curioso es que la clave persiste pero el archivo no está en el sistema...

msc hotline sat escribió:Conentando con los de procesos que tras pasar el ELIBAGLA persistía la clave del WINTEMPS, me comentan que puede ser uno de los no controlados, pues estan llegando a diario cantidda de muestras variantes de Bagle.

Independiente de la muestra que nos envie, hoy hay mas de 20 nuevas muestras de Bagle para controlar, asi que esta noche descargue de nuevo el ELIBAGLA (será el 11.84) y tras probarlo nos postea el infosat.txt.

Y mejor en modo seguro, y como que usa VISTA, para ejecutarlo hagalo con boton derecho sobre su icono y dandole permisos de administrador, como es aconsejable hacer con todas las aplicaciones con este dichoso sistema !

saludos
ms, 14-10-2008

Mensaje por **msc hotline sat** » 14 Oct 2008, 18:43

Ya hemos subido el ELIBAGLA 11.84, descargalo y pruebalo, y si persiste la clave, lanzas el HJT, marcas la casilla de su izquierda y le das a FIX CHECKED, para eliminarla, pues ante un Rootkit como son el SROSA y el WINTEMS del Bagle, pueden ocultarse tanto sus procesos en el Task manager como los propios ficheros, asi que por si las moscas, fuera esta clave de lanzamiento.

Pero dinos si tras probar el ultimo ELIBAGLA indicado, luego con el HJT o con el SPROCES (que es mas exhaustivo pero esta clave la ven los dos), sigue estando. Si es el caso, será raro, porque la eliminamos especificamente y no debería persistir...

Y con ello se te acabó el Bagle, por ahora ... :wink:

saludos

ms, 14-10-2008

horace · Mensaje por **horace** » 14 Oct 2008, 20:11

Buenas...

Esta nueva version del elibagla no ha hecho nada nuevo. Sigue reportando acceso denegado a un montón de carpetas (creo haber contado como 40 esta vez).

Después de ejecutarlo sigue estando alli la clave en el Hijack This. Obviamente la marco y sigue sin irse. Como antes vamos.

O sea que estoy exactamente igual que antes.

msc hotline sat escribió:Ya hemos subido el ELIBAGLA 11.84, descargalo y pruebalo, y si persiste la clave, lanzas el HJT, marcas la casilla de su izquierda y le das a FIX CHECKED, para eliminarla, pues ante un Rootkit como son el SROSA y el WINTEMS del Bagle, pueden ocultarse tanto sus procesos en el Task manager como los propios ficheros, asi que por si las moscas, fuera esta clave de lanzamiento.

Pero dinos si tras probar el ultimo ELIBAGLA indicado, luego con el HJT o con el SPROCES (que es mas exhaustivo pero esta clave la ven los dos), sigue estando. Si es el caso, será raro, porque la eliminamos especificamente y no debería persistir...

Y con ello se te acabó el Bagle, por ahora ...

Mensaje por **msc hotline sat** » 14 Oct 2008, 21:26

Es lo que me temía, que hay algo oculto que lo regenera...

Arranca en modo seguro con funciones de red (para evitar que el Rootkit lo oculte), lanza este AV ONLINE y posteanos el informe resultante:

SOLO TESTEO AV ONLINE

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.

(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)

Miraremos de pedirte muestras de lo que encontremos, para pasar a controlar lo descontrolado !!!

saludos
ms, 14-10-2008

horace · Mensaje por **horace** » 17 Oct 2008, 07:28

No se porque pero me temía que esto iba a pasar. El Kaspesky se tiró algo así como 12h funcionando y después de estas corriendo contínuamente sobre los mismo archivos cuando llevaba el 99% lo paré. No detectó nada. El Log que me sacó es demasiado extenso para pegarlo. A modo de ejemplo pongo algunas líneas que me llaman mucho la atención:

KASPERSKY ONLINE SCANNER INFORME
jueves, 16 de octubre de 2008 21:06:00
Sistema operativo: Professional, Service Pack 1 (Build 6001)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 16/10/2008
Registros en la base antivirus: 1176661

Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Código: Seleccionar todo

Objetivo a analizar Mi PC 
C:\
D:\
F:\
G:\
H:\
I:\
J:\  
 
Estadísticas 
Número de objeros analizados 12313854 
Virus encontrados 0 
Objetos infectados 0 / 0 
Objetos sospechosos 0 
Duración del análisis 12:44:49 

Bombre del objeto infectado Nombre del virus Última acción 

C:\Boot\BCD  Object is locked  saltado  
C:\Boot\BCD.LOG  Object is locked  saltado  
C:\Documents and Settings\All Users\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows Defender\Support\MPLog-11022006-050107.log  Object is locked  saltado  
C:\Documents and Settings\All Users\Datos de programa\Datos de programa\Datos de programa\Datos de programa\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Windows Defender\Support\MPLog-11022006-050107.log  Object is locked  saltado  
C:\Documents and Settings\All Users\Datos de programa\Datos de programa\Datos de programa\Datos de programa\Application Data\Application Data\Application Data\Application Data\Datos de programa\Microsoft\Windows Defender\Support\MPLog-11022006-050107.log  Object is locked  saltado  

No se, a mi me da que aqui hay montado un pifostio del demonio.

El Elibagla V11.85 se sigue quejando de que hay un montón de carpetas a las que no puede acceder.  El log que saca ahora es este:


	  Mon Oct 13 10:29:53 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

	  Mon Oct 13 10:30:00 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Users\horace\AppData\Roaming\m\FLEC006.EXE --> Eliminado Bagle
C:\Windows\System32\MDELK.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\116484.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\146562.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\15176171.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\15181375.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\277453.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\282156.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\286484.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\291921.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\29866843.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\29891171.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\299000.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\44606390.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\44614125.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\44618343.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\515281.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\519093.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\59269531.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\59271046.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\602296.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\73809015.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\73813406.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\813250.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\821125.EXE --> Eliminado Bagle
C:\Windows.old\Users\horace\AppData\Local\Temp\Temp1_Easy_DVD_Shrink_3.0.22_(Cracked).zip\EASY_DVD_SHRINK_3.0.22_(CRACKED).EXE --> Eliminado Bagle.dldr
C:\Windows.old\Windows\System32\STTRAY.EXE --> Eliminado Bagle.dldr
C:\Windows.old\Windows\System32\drivers\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\Windows.old\Windows\System32\drivers\downld\14790437.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\14797187.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\14800812.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\177484.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\182875.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\190984.EXE --> Eliminado Bagle

Nº Total de Directorios:   35331
Nº Total de Ficheros:      205543
Nº de Ficheros Analizados: 29348
Nº de Ficheros Infectados: 34
Nº de Ficheros Limpiados:  34

	  Mon Oct 13 10:51:22 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   35331
Nº Total de Ficheros:      205509
Nº de Ficheros Analizados: 29314
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Oct 13 10:56:00 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   35331
Nº Total de Ficheros:      205510
Nº de Ficheros Analizados: 29314
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Oct 13 18:09:22 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Mon Oct 13 18:09:31 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   35268
Nº Total de Ficheros:      197911
Nº de Ficheros Analizados: 29244
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Oct 13 18:58:36 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Mon Oct 13 18:58:38 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   635
Nº Total de Ficheros:      8408
Nº de Ficheros Analizados: 1029
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

	  Tue Oct 14 09:07:23 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Oct 14 09:07:24 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   26279
Nº Total de Ficheros:      152227
Nº de Ficheros Analizados: 18824
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Oct 14 15:45:51 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Oct 14 15:45:52 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   26559
Nº Total de Ficheros:      157571
Nº de Ficheros Analizados: 18958
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Oct 14 16:27:25 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Oct 14 16:27:26 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   26552
Nº Total de Ficheros:      157536
Nº de Ficheros Analizados: 18954
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Oct 14 19:13:18 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Oct 14 19:13:20 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4463
Nº Total de Ficheros:      30111
Nº de Ficheros Analizados: 2318
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

	  Tue Oct 14 19:36:56 2008
EliBagle v11.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Oct 14 19:36:58 2008
EliBagle v11.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   26575
Nº Total de Ficheros:      158360
Nº de Ficheros Analizados: 18947
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Oct 14 19:49:58 2008
EliBagle v11.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Oct 14 19:50:00 2008
EliBagle v11.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   26452
Nº Total de Ficheros:      157808
Nº de Ficheros Analizados: 18627
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Wed Oct 15 19:21:32 2008
EliBagle v11.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Wed Oct 15 19:21:35 2008
EliBagle v11.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   13
Nº Total de Ficheros:      53
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Fri Oct 17 06:58:14 2008
EliBagle v11.85  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Fri Oct 17 06:58:17 2008
EliBagle v11.85  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   23473
Nº Total de Ficheros:      134461
Nº de Ficheros Analizados: 18730
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0



El log del hijackthis es el siguiente:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:10:42, on 17/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DoroPDFWriter\DoroServer.exe
C:\Program Files\Panda Security\Panda Antivirus 2008\ApVxdWin.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows.old\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\NDAS\System\ndasmgmt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Panda Security\Panda Antivirus 2008\WebProxy.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Trillian\trillian.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Panda Security\Panda Antivirus 2008\AvltMain.exe
C:\program files\vchart4\Bin\vChart.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\PROGRAM FILES\VCHART4\Bin\Realserver.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\horace\Desktop\ELIBAGLA.BEA%D8B%D8%D8H.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.finance.yahoo.com/p?k=eupf_3
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DoroServer] C:\Program Files\DoroPDFWriter\DoroServer.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [LanzarL2007] "C:\Users\horace\AppData\Local\Temp\{4CDEA5FB-4067-4B55-9E0A-9EC8C98E3B52}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x000a"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Windows.old\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [german.exe] C:\Windows\system32\wintems.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'Servicio de red')
O4 - Global Startup: NDAS Device Management.lnk = C:\Program Files\NDAS\System\ndasmgmt.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/download/scanner/en-us/wlscctrl2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E9A90EC-8F51-4E5D-AC2E-29694F7730B6}: NameServer = 212.4.96.21,212.4.96.22
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDEC9572-2DC4-4E11-8688-A8D03BC55920}: NameServer = 212.4.96.21,212.4.96.22
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Program Files\NDAS\System\ndassvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Security\Panda Antivirus 2008\PsCtrls.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Security\Panda Antivirus 2008\pavsrvx86.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Security\Panda Antivirus 2008\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Software International - C:\Program Files\Panda Security\Panda Antivirus 2008\PskSvc.exe

--
End of file - 6895 bytes

Y, obviamente, por más que intento marcar las entradas sospechosas (german y alguna más) no las elimina.

¿Alguna idea?

H

msc hotline sat escribió:Es lo que me temía, que hay algo oculto que lo regenera...

Arranca en modo seguro con funciones de red (para evitar que el Rootkit lo oculte), lanza este AV ONLINE y posteanos el informe resultante:

SOLO TESTEO AV ONLINE

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.

(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)

Miraremos de pedirte muestras de lo que encontremos, para pasar a controlar lo descontrolado !!!

saludos

ms, 14-10-2008

Mensaje por **msc hotline sat** » 17 Oct 2008, 09:32

No estás arrancando en modo seguro, y asi lo que hay nos toma el pelo, no dejando ver lo que no quiere

Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Recuerda lo que decimos:
viewtopic.php?f=5&t=23824

Todos los esfuerzos y testeos que hagas no servirán para nada si está el RootKit en memoria...,

Y lo mismo para el AV ONLINE, arranca en modo seguro con funciones de red, sino el RootKit oculta los ficheros, claves y procesos que quiere, y así estamos ...

Se debe tratar de una nueva variante no conocida todavía, y quizas algo mas que el Bagle, prueba ademas del ELIBAGLA, también el ELISTARA:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 17-10-2008

horace · Mensaje por **horace** » 17 Oct 2008, 10:08

Buenas... muchas gracias por tu pronta respuesta.

Cuando ejecuté el Kaspersky Si estaba en modo a prueba de fallos. cuando hice (esta vez) el hijack que os he mandado pues no. Acabo de ejecutar el elistara. Ha encontrado algunas cosas. Os pego el fichero.

Mon Oct 13 10:29:53 2008
EliBagle v11.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

	  Mon Oct 13 10:30:00 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Users\horace\AppData\Roaming\m\FLEC006.EXE --> Eliminado Bagle
C:\Windows\System32\MDELK.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\116484.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\146562.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\15176171.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\15181375.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\277453.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\282156.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\286484.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\291921.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\29866843.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\29891171.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\299000.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\44606390.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\44614125.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\44618343.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\515281.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\519093.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\59269531.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\59271046.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\602296.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\73809015.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\73813406.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\813250.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\821125.EXE --> Eliminado Bagle
C:\Windows.old\Users\horace\AppData\Local\Temp\Temp1_Easy_DVD_Shrink_3.0.22_(Cracked).zip\EASY_DVD_SHRINK_3.0.22_(CRACKED).EXE --> Eliminado Bagle.dldr
C:\Windows.old\Windows\System32\STTRAY.EXE --> Eliminado Bagle.dldr
C:\Windows.old\Windows\System32\drivers\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\Windows.old\Windows\System32\drivers\downld\14790437.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\14797187.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\14800812.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\177484.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\182875.EXE --> Eliminado Bagle
C:\Windows.old\Windows\System32\drivers\downld\190984.EXE --> Eliminado Bagle

Nº Total de Directorios:   35331
Nº Total de Ficheros:      205543
Nº de Ficheros Analizados: 29348
Nº de Ficheros Infectados: 34
Nº de Ficheros Limpiados:  34

	  Mon Oct 13 10:51:22 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   35331
Nº Total de Ficheros:      205509
Nº de Ficheros Analizados: 29314
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Oct 13 10:56:00 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   35331
Nº Total de Ficheros:      205510
Nº de Ficheros Analizados: 29314
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Oct 13 18:09:22 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Mon Oct 13 18:09:31 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   35268
Nº Total de Ficheros:      197911
Nº de Ficheros Analizados: 29244
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Oct 13 18:58:36 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Mon Oct 13 18:58:38 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   635
Nº Total de Ficheros:      8408
Nº de Ficheros Analizados: 1029
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

	  Tue Oct 14 09:07:23 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Oct 14 09:07:24 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   26279
Nº Total de Ficheros:      152227
Nº de Ficheros Analizados: 18824
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Oct 14 15:45:51 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Oct 14 15:45:52 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   26559
Nº Total de Ficheros:      157571
Nº de Ficheros Analizados: 18958
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Oct 14 16:27:25 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Oct 14 16:27:26 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   26552
Nº Total de Ficheros:      157536
Nº de Ficheros Analizados: 18954
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Oct 14 19:13:18 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Oct 14 19:13:20 2008
EliBagle v11.83  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4463
Nº Total de Ficheros:      30111
Nº de Ficheros Analizados: 2318
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

	  Tue Oct 14 19:36:56 2008
EliBagle v11.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Oct 14 19:36:58 2008
EliBagle v11.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   26575
Nº Total de Ficheros:      158360
Nº de Ficheros Analizados: 18947
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Oct 14 19:49:58 2008
EliBagle v11.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Oct 14 19:50:00 2008
EliBagle v11.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   26452
Nº Total de Ficheros:      157808
Nº de Ficheros Analizados: 18627
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Wed Oct 15 19:21:32 2008
EliBagle v11.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Wed Oct 15 19:21:35 2008
EliBagle v11.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   13
Nº Total de Ficheros:      53
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Fri Oct 17 06:58:14 2008
EliBagle v11.85  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Fri Oct 17 06:58:17 2008
EliBagle v11.85  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   23473
Nº Total de Ficheros:      134461
Nº de Ficheros Analizados: 18730
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Fri Oct 17 09:50:34 2008
EliStartPage v17.20  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"
                 "Debugger"="NULL1"
No ha sido posible abrir IERESET.INF
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri Oct 17 09:50:57 2008
EliStartPage v17.20  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Users\horace\AppData\Local\Windows Live Writer\ResourceCache\WindowsLive\Writer\CoreServices\Marketization\MASTER.XML --> Eliminado, MalWare.Celular
C:\Windows.old\Program Files\Microsoft Office\Office12\MSPJEVTS.DLL --> Eliminado, RemoteAdmin(lmiinit)

Nº Total de Directorios:   23310
Nº Total de Ficheros:      128952
Nº de Ficheros Analizados: 24711
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  2

Eso es lo que me dice...

¿?

Muchas gracias...

msc hotline sat escribió:No estás arrancando en modo seguro, y asi lo que hay nos toma el pelo, no dejando ver lo que no quiere

Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Recuerda lo que decimos:

viewtopic.php?f=5&t=23824

Todos los esfuerzos y testeos que hagas no servirán para nada si está el RootKit en memoria...,

Y lo mismo para el AV ONLINE, arranca en modo seguro con funciones de red, sino el RootKit oculta los ficheros, claves y procesos que quiere, y así estamos ...

Se debe tratar de una nueva variante no conocida todavía, y quizas algo mas que el Bagle, prueba ademas del ELIBAGLA, tambien el ELISTARA:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos

ms, 17-10-2008

Mensaje por **msc hotline sat** » 17 Oct 2008, 10:50

Pues vigila un poco que no se regenere ninguna clave pero si ya el AV ONLINE lo pasaste en modo seguro, y no detectó nada... pues estamos rizando el rizo... Bueno, todo es poco al respecto :wink:

Ahora la pelota está en tus manos, tras reiniciar, dinos si ya no persiste ningun problema, y si has de hacer algo mas, hazlo en modo seguro, que me despistaste cuando vi en el HJT que estabas en modo normal...

saludos

ms, 17-10-2008

horace · Mensaje por **horace** » 17 Oct 2008, 11:02

Hombre, rizar el rizo no lo se, pero los sintomas siguen exactamente igual que siempre. Vamos, que desde el principio no ha cambiado mucho el tema.

El Kaspersky detectó lo que ya os puse ahi arribas. Es decir, decía que ningun bicho pero luego había un montón de líneas que no podía atacar. Ya lo has visto "Object is locked" pone. Y luego saltado.

Vamos, que la máquina sigue estando igual de infectada que siempre me temos.

msc hotline sat escribió:Pues vigila un poco que no se regenere ninguna clave pero si ya el AV ONLINE lo pasaste en modo seguro, y no detectó nada... pues estamos rizando el rizo... Bueno, todo es poco al respecto

Ahora la pelota está en tus manos, tras reiniciar, dinos si ya no persiste ningun problema, y si has de hacer algo mas, hazlo en modo seguro, que me despistaste cuando vi en el HJT que estabas en modo normal...

saludos
ms, 17-10-2008

Mensaje por **msc hotline sat** » 17 Oct 2008, 12:07

Pues ya solo cabe dar premisos de administrador a la herramienta que utilices, evidentemente arrancando en modo seguro, y en el caso del AV ONLINE EN MODO SEGURO CON FUNCIONES DE RED Y PRIVILEGIOS DE ADMINISTRADOR.

Vuelve a probarlo si quieres...

saludos
ms, 17-10-2008

Bagle o lo que queda de el.

Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.

Re: Bagle o lo que queda de el.