ayuda por favor! (SOLUCIONADO)

[angeltom]

He intentado ejecutar el elibagle pero me es imposible, os pego el los del kapersky online



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

viernes, 24 de octubre de 2008 1:10:48

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 23/10/2008

Registros en la base antivirus: 1200880

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Áreas críticas:

C:\WINDOWS

C:\DOCUME~1\ANGEL~1.CAS\CONFIG~1\Temp\



Estadísticas:

Número de objeros analizados: 23148

Virus encontrados: 1

Objetos infectados: 2 / 0

Objetos sospechosos: 0

Duración del análisis: 01:47:48



Bombre del objeto infectado / Nombre del virus / Última acción

C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\$NtUninstallKB956841$\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\CSC\00000001 Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\ie7_main.log Object is locked saltado

C:\WINDOWS\SCED38EB9.tmp Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\SoftwareDistribution\Download\77d3ee4ff4340f1c82d5d33253d747f5\SP2GDR\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\SoftwareDistribution\Download\77d3ee4ff4340f1c82d5d33253d747f5\SP2QFE\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\SoftwareDistribution\Download\77d3ee4ff4340f1c82d5d33253d747f5\SP3GDR\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\SoftwareDistribution\Download\77d3ee4ff4340f1c82d5d33253d747f5\SP3QFE\ntkrnlpa.exe Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\usgthrsvc\Perflib_Perfdata_860.dat Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\DOCUME~1\ANGEL~1.CAS\CONFIG~1\Temp\NGLALog.txt Object is locked saltado

C:\DOCUME~1\ANGEL~1.CAS\CONFIG~1\Temp\Rar$EX00.266\patch.exe Infectados: Trojan-Downloader.Win32.Bagle.aei saltado

C:\DOCUME~1\ANGEL~1.CAS\CONFIG~1\Temp\Rar$EX02.500\patch.exe Infectados: Trojan-Downloader.Win32.Bagle.aei saltado



Análisis completado.

[flacoroo]

el bagle esta en la carpeta de temporales....entra en modo seguro y en ejecutar escribes este comando %temp% y eliminas lo que salga en la ventana...ejecutas en el modo seguro el elibagla y nos pegas el resultado de C:infosat.txt

y despues pasas estos programitas:

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Elinotiff[/url] (complemento de elistara, no se ejecuta)

[angeltom]

No es posible iniciar en modo seguro, cuando comienza a iniciar se reinicia automaticamente. He leido que no deja el gusano arrancar en modo seguro para que sea más complicado de eliminarlo. Otra solucion? Muchas gracias!

[msc hotline sat]

Como apunta flacoroo, está claro que está rondando un Bagle:



C:\DOCUME~1\ANGEL~1.CAS\CONFIG~1\Temp\Rar$EX00.266\patch.exe Infectados: Trojan-Downloader.Win32.Bagle.aei saltado

C:\DOCUME~1\ANGEL~1.CAS\CONFIG~1\Temp\Rar$EX02.500\patch.exe Infectados: Trojan-Downloader.Win32.Bagle.aei saltado



Prueba el ELIBAGLA indicado, pero sigue las instrucciones indicadas para poder arrancar en modo seguro:

[angeltom]

He pasado el elibagla, cuando lo inicio me dice que ha detectado un gusano y que debe reiniciar, reinicia y cuando inicia windows me vuelve a decir lo mismo, le paso el scaner del elibagla y no me detecta nada. Gracias.

[msc hotline sat]

Sí, sigue las instrucciones que indicamos en:



https://foros.zonavirus.com/nuevas-variantes-de-bagle-mas-resistentes-metodo-a-seguir-t23824.html



saludos



ms, 24-10-2008

[angeltom]

Esta mediodia he intentado lo que me decis, pero no hay manera. Ejecuto el elibagla y me dice que ha detectado un bagle y que debo reiniciar. Cuando reinicio despues de eso, que según lo que me poneis es cuando debería de poder entrar al modo a prueba de fallos, no me deja, se reinicia el solo intentando iniciar en el modo a prueba de fallos. Entonces no puedo seguir el resto de pasos. Tambien he probado a examinar con el elibagla en modo normal, y lo que hace es que empieza pero cuando pasan 2 o 3 segundos, se cierra el elibagla solo. Estoy desconcertado ahora mismo. ¿Puede ser una variante nueva del virus?

[msc hotline sat]

Si ya lo detectamos, ya lo conocemos, pero no posteas el infosat para ver lo que te dice...



A la vista del mismo veremos si se te escapa algo.



Por ejemplo si hubieras ejecutado para ello ELISTARA o ELIBAGLA antiguos, es posible que hubieras dejado a medias las claves del SafeBoot y haya que eliminarlas del todo para rehacerlas, lo cual hacemos con el DELSAFE.REG



Cuando hayas posteado el infosat.txt, lo veremops y procederemos



saludos



ms, 24-10-2008

[angeltom]

Fri Oct 24 18:56:44 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Despues de eso reinicio y después de reiniciar estamos en el mismo punto de partida, como si no hubieramos avanzado nada.

[msc hotline sat]

Es que justamente despues de la accion directa, sal del ELIBAGLA, reinicia en modo seguro, que espero podrás, si el infosat que nos has posteado es todo el historico que tienes, y es entonces cuando el ELIbagla podrá actuar contra el RootKit dichoso.



Pero si el infosat.txt es mas largo, y antes que esto hay mas cosas, deberias haberlo posteado pues es lo que queriamos ver para saber si hacía falta eliminar la clave del Safe Boot y partir de cero.



Pruebalo y nos informas



Y no te preocupes, será el Bagle 10.000 que eliminamos ... asi que ya nos conocemos :mrgreen:



saludos



ms, 24-10-2008

[angeltom]

Fri Oct 24 14:58:00 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 24 14:58:22 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 14:58:25 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 24 14:58:28 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 14:58:30 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 24 15:42:19 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 15:42:22 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 24 18:56:44 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Tengo mas para atras, pero es todo lo mismo

[msc hotline sat]

No, no es lo mismo, pues si vemos que en el pasado probaste el ELISTARA y corrigió las claves del SAFEBOOT, modificadas por el BAGLE, habremos encontrado la causa, y es que a cada malware lo suyo...



Postealo todo, y mientras busco el script del DELSAFE, que ya no usamos por ser cosa del pasado, pero si vemos que lo tuyo es lo ya indicado, primero eliminaremos dichas claves del SAFEBOOT y luego empezaremos de nuevo con el ELIBAGLA.



saludos



ms, 24-10-2008

[msc hotline sat]

Eso es, hace poco mas de 15 días lo hicimos:



Copia el script entre lineas en el Bloc de Notas y guardalo como DELSAFE.REG :



_______



REGEDIT4



[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]



_______





Por si fuera el caso que hubieras pasado el ELISTARA en el pasado, con el que corregimos claves relativas al SAFEBOOT que tambien modificaban troyanos que no eran los Bagle, ejecuta este DELSAFE.REG y tras ello prueba de nuevo el ELIBAGLA



Ahora ya hemos implementado en una y otra utilidad (ELISTARA y ELIBAGLA) la restauracion total de dicha clave, lo cual sirve tanto para unos como para otros :wink:



Y tras todo ello, comentanos el resultado, gracias



saludos



ms, 24-10-2008

[angeltom]

Fri Oct 17 14:46:21 2008

EliStartPage v17.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKCU\...\Run] "EAAHFCS"=""c:\documents and settings\angel.casa\configuración local\datos de programa\eaahfcs.exe" eaahfcs"

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Oct 18 00:54:15 2008

EliStartPage v17.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Oct 18 00:54:23 2008

EliStartPage v17.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Acrobat 8.0\Designer 8.0\ES\CONVERTWORD.DLL --> Eliminado, BlackStone(BHO)

C:\Archivos de programa\CyberLink\PowerDVD\QT3SUPPORT4.DLL --> Infectado, ISTBar

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Infectado, SpyRealtek

C:\Documents and Settings\ANGEL.CASA\Configuración local\Datos de programa\EAAHFCS.VIR.EXE --> Eliminado, NaviPromo(dropper)



Nº Total de Directorios: 6488

Nº Total de Ficheros: 83091

Nº de Ficheros Analizados: 24621

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 2



Sun Oct 19 11:20:40 2008

EliStartPage v17.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Oct 19 11:20:59 2008

EliStartPage v17.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\CyberLink\PowerDVD\QT3SUPPORT4.DLL --> Eliminado, ISTBar

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 6485

Nº Total de Ficheros: 84689

Nº de Ficheros Analizados: 24850

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Sun Oct 19 17:40:12 2008

EliTriIP v5.14 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Oct 19 17:40:19 2008

EliTriIP v5.14 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6458

Nº Total de Ficheros: 86793

Nº de Ficheros Analizados: 24386

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Oct 22 14:29:14 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Fri Oct 24 01:23:50 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle



Fri Oct 24 01:24:45 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.



Fri Oct 24 01:33:28 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 01:33:42 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 01:33:45 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 24 01:33:58 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 01:34:03 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 24 01:35:15 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 01:35:46 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6464

Nº Total de Ficheros: 92744

Nº de Ficheros Analizados: 13410

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Oct 24 01:41:40 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle



Fri Oct 24 01:42:54 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 01:44:11 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 08:32:10 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 08:48:43 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 13:53:31 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 14:08:37 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 14:24:08 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Oct 24 14:24:21 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\ANGEL.CASA\Datos de programa\m\FLEC006.EXE --> Eliminado Bagle

C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\system32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\SROSA.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS\system32\drivers\downld\109625.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\114156.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\118156.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\150953.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\154750.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\376359.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\379328.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\79906.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\82968.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\84562.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\89640.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\91968.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\94703.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\97031.EXE --> Eliminado Bagle



Nº Total de Directorios: 6480

Nº Total de Ficheros: 93073

Nº de Ficheros Analizados: 13586

Nº de Ficheros Infectados: 18

Nº de Ficheros Limpiados: 18



Fri Oct 24 14:36:07 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"



Fri Oct 24 14:46:34 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

Eliminada Carpeta "%AppData%\M"



Fri Oct 24 14:47:00 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 14:47:07 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 24 14:47:14 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 14:48:59 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 14:49:30 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6330

Nº Total de Ficheros: 92658

Nº de Ficheros Analizados: 13316

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Oct 24 14:57:39 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 14:57:43 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 24 14:57:46 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 14:57:48 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 24 14:57:57 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 14:58:00 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 24 14:58:22 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 14:58:25 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 24 14:58:28 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 14:58:30 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 24 15:42:19 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri Oct 24 15:42:22 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 24 18:56:44 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Ese es todo el infosat que tengo. Perdon por ser tan patoso. Gracias.

[msc hotline sat]

Quien habla de patos ??? :wink:



Rarillo, pues el primer ELIBAGLA no detectó clave safeboot modificada ???



Pero claro, antes se había pasado ELISTARA, cuando no corregia el SAFEBOOT del Bagle...



Ahora ya sí, pero claro, antes si lo había lo hizo a la manera del ELISTARA, asi que haz lo que indico en mi post anterior, creas el DELSAFE.REG, lo ejecutas y luego de nuevo el ELIBAGLA, a ver si puedes entonces reiniciar en modo seguro y lanzar en dicho modo de nuevo el ELIBAGLA...



y si asi puedes y te pide reiniciar, hazlo normalmente, que ya se ha pulido el RootKit dichoso.



saludos



ms, 24-10-2008

[angeltom]

Imposible, aún haciendo eso sigue siendo imposible iniciar en modo seguro.

[lucl]

Peganos sprocess y veamos que tienes por ahi escondido en el pc que incordia tanto saludos





http://www.zonavirus.com/descargas/sproces.asp

[angeltom]

Ahi va el sprocess en un adjunto.

[msc hotline sat]

Si el tamaño lo permite, mejor es postear los informes con un copiar y pegar:


[quote]
Sat Oct 25 00:59:26 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v6.0.2900.5512) ;SP3;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\LEXBCES.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\LEXPPS.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MANAGED VIRUSSCAN\VSCAN\ENGINESERVER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MCAFEE\HACKERWATCH\HWAPI.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO8\NERO BACKITUP\NBSERVICE.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SUPPORTSOFT\BIN\SPRTLISTEN.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\LXSUPMON.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\SLYSOFT\CLONECD\CLONECDTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 8.0\READER\READER_SL.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 8.0\ACROBAT\ACROTRAY.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS LITE\DAEMON.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 7\PCSUITE.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 7\PCSYNC2.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\LIB\NMINDEXSTORESVR.EXE

C:\ARCHIVOS DE PROGRAMA\TELEFONICA\KIT ADSL USB\DSLMON.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MACROVISION SHARED\FLEXNET PUBLISHER\FNPLICENSINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLUSBSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLRSSRV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NOKIA\MPAPI\MPAPI3S.EXE

C:\WINDOWS\SYSTEM32\DRIVERS\DOWNLD\69578.EXE

C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\MIS DOCUMENTOS\ANGEL\PROGRAMAS\UTILIDADES SISTEMA\MONITOR DE PROCESOS SPROCESS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog

O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [MVS Splash] C:\Archivos de programa\McAfee\Managed VirusScan\Agent\Splash.exe

O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Archivos de programa\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe"

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\ANGEL.CASA\Mis documentos\Angel\Programas\Eliminar virus bagle\ELIBAGLA.CAABH.EXE

O4 - Startup: desktop.ini

O4 - Global Startup: Consola KIT ADSL.lnk

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\ANGEL.CASA\Menú Inicio\Programas\IMVU\Run IMVU.lnk

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://web.atar.rima-tde.net/sdccommon/download/tgctlcm.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209941244856

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209941235075

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D1E848E0-F251-475D-AABC-C6E29BBCA903}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\MyRmProt4.7.0.596.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: General Purpose USB Driver (adildr.sys) (ADILOADER) - Analog Deivces - C:\WINDOWS\SYSTEM32\Drivers\adildr.sys

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: EngineServer - McAfee, Inc. - C:\Archivos de programa\McAfee\Managed VirusScan\VScan\EngineServer.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe

O23 - Service: Servicio de prtección antivirus y antisoftware espía de McAfee (myAgtSvc) - ..................................................................... - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SupportSoft Listener Service (sprtlisten) - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\sprtlisten.exe

O23 - Service: {95808DC4-FA4A-4c74-92FE-5B863F82066B} - Cyberlink Corp. - C:\Archivos de programa\CyberLink\PowerDVD\000.fcl



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: USB ADSL WAN Adapter (adiusbaw) - Analog Devices Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\adiusbaw.sys

O23 - Service: Bluetooth PAN Network Adapter (BT) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btnetdrv.sys (file missing)

O23 - Service: Bluetooth USB For Bluetooth Service (Btcsrusb) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\btcusb.sys (file missing)

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyCDFL - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDFL.sys

O23 - Service: ElbyDelay - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyDelay.sys

O23 - Service: Lavalys EVEREST Kernel Driver (EverestDriver) - Unknown owner - C:\Archivos de programa\Lavalys\EVEREST Ultimate Edition\kerneld.wnt (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: IVT Bluetooth Bus Service (IvtBtBUs) - IVT Corporation. - C:\WINDOWS\SYSTEM32\Drivers\IvtBtBus.sys

O23 - Service: McAfee Inc. MfeAVFK (MfeAVFK) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\MfeAVFK.sys

O23 - Service: McAfee Inc. MfeBOPK (MfeBOPK) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\MfeBOPK.sys

O23 - Service: McAfee Inc. MfeRKDK (MfeRKDK) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\MfeRKDK.sys

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: Nokia USB Flashing Phone Parent (nmwcdnsu) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsu.sys

O23 - Service: Nokia USB Flashing Generic (nmwcdnsuc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsuc.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: upperdev - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys (file missing)

O23 - Service: Virtual Serial port driver (VComm) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\VComm.sys (file missing)

O23 - Service: Bluetooth VComm Manager Service (VcommMgr) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\VcommMgr.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: McShield - McAfee, Inc. - C:\ARCHIV~1\McAfee\MANAGE~1\VScan\McShield.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe



50 Servicios.

14 de Carga Automatica.

33 de Carga Manual.

3 Deshabilitados.
[/quote]



Pero el problema no es visible en dicho log, claro que el dichoso Bagle usa Rootkits, y por ello no dejar ver el que tenemos:


[quote]
EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.saludos[/quote]

Pues si se resiste tanto, la excepcion confirma la regla, vamos a ir por otro camino:



[b][i]ARRANQUE CON EL CD DE INSTALACION DE WINDOWS Y PULSE R PARA ACCEDER A LA CONSOLA DE RECUPERACION[/i][/b]





Una vez allí iremos al directorio de sistema y borraremos manualmente dichos ficheros, que al no arrancar desde el disco duro, no estarán activos y podremos hacerlos sin mayor problema, con DEL:



DEL C:\WINDOWS\SYSTEM32\WINTEMS.EXE           <ENTER>

DEL C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS    <ENTER>





tras ello retirar el CD, reiniciar y pasar normalmente el ELIBAGLA, ya sin Rootkits.





Ya con ello debe quedar solucionado, informanos del resultado posteando el ultimo infosat.txt resultante



saludos



ms, 25-10-2008

[angeltom]

Bueno, ya hemos avanzado un poco!! jejejeje Os posteo el ultimo infosat en el que se ve que ya me he cargado los bagles que habiañ. Por fin me deja inciar en modo seguro!! :D Ahora lo que no me inicia es el antivirus, por lo que os pego tambien el sprocess para que le hecheis un vistazo tambien. Gracias!



[b]infosat[/b]



Sat Oct 25 21:48:05 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



Sat Oct 25 21:48:49 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\129875.EXE --> Eliminado Bagle.VR

C:\WINDOWS\system32\drivers\downld\151468.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\158656.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\334750.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\557906.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\69578.EXE --> Eliminado Bagle.VR

C:\WINDOWS\system32\drivers\downld\72078.EXE --> Eliminado Bagle.VR

C:\WINDOWS\system32\drivers\downld\86500.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\94578.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\97562.EXE --> Eliminado Bagle



Nº Total de Directorios: 6479

Nº Total de Ficheros: 92944

Nº de Ficheros Analizados: 13437

Nº de Ficheros Infectados: 11

Nº de Ficheros Limpiados: 11



Sat Oct 25 21:56:28 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Oct 25 21:56:30 2008

EliBagle v11.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Octubre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6481

Nº Total de Ficheros: 92982

Nº de Ficheros Analizados: 13426

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



[b]sprocess[/b]

Sat Oct 25 22:02:46 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v6.0.2900.5512) ;SP3;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\LXSUPMON.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\ARCHIVOS DE PROGRAMA\SLYSOFT\CLONECD\CLONECDTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 8.0\READER\READER_SL.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 8.0\ACROBAT\ACROTRAY.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS LITE\DAEMON.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 7\PCSUITE.EXE

C:\ARCHIVOS DE PROGRAMA\NOKIA\NOKIA PC SUITE 7\PCSYNC2.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\LIB\NMINDEXSTORESVR.EXE

C:\ARCHIVOS DE PROGRAMA\TELEFONICA\KIT ADSL USB\DSLMON.EXE

C:\WINDOWS\SYSTEM32\LEXBCES.EXE

C:\WINDOWS\SYSTEM32\LEXPPS.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MANAGED VIRUSSCAN\VSCAN\ENGINESERVER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MCAFEE\HACKERWATCH\HWAPI.EXE

C:\ARCHIVOS DE PROGRAMA\NERO\NERO8\NERO BACKITUP\NBSERVICE.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SUPPORTSOFT\BIN\SPRTLISTEN.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MACROVISION SHARED\FLEXNET PUBLISHER\FNPLICENSINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLUSBSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLRSSRV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NOKIA\MPAPI\MPAPI3S.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\ANGEL.CASA\MIS DOCUMENTOS\ANGEL\PROGRAMAS\UTILIDADES SISTEMA\MONITOR DE PROCESOS SPROCESS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog

O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [MVS Splash] C:\Archivos de programa\McAfee\Managed VirusScan\Agent\Splash.exe

O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Archivos de programa\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe"

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: Consola KIT ADSL.lnk

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\ANGEL.CASA\Menú Inicio\Programas\IMVU\Run IMVU.lnk

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://web.atar.rima-tde.net/sdccommon/download/tgctlcm.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209941244856

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209941235075

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D1E848E0-F251-475D-AABC-C6E29BBCA903}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\MyRmProt4.7.0.596.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: General Purpose USB Driver (adildr.sys) (ADILOADER) - Analog Deivces - C:\WINDOWS\SYSTEM32\Drivers\adildr.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ElbyCDIO Driver (ElbyCDIO) - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDIO.sys

O23 - Service: EngineServer - McAfee, Inc. - C:\Archivos de programa\McAfee\Managed VirusScan\VScan\EngineServer.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe

O23 - Service: Servicio de prtección antivirus y antisoftware espía de McAfee (myAgtSvc) - ..................................................................... - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SupportSoft Listener Service (sprtlisten) - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\sprtlisten.exe

O23 - Service: {95808DC4-FA4A-4c74-92FE-5B863F82066B} - Cyberlink Corp. - C:\Archivos de programa\CyberLink\PowerDVD\000.fcl



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: USB ADSL WAN Adapter (adiusbaw) - Analog Devices Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\adiusbaw.sys

O23 - Service: Bluetooth PAN Network Adapter (BT) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btnetdrv.sys (file missing)

O23 - Service: Bluetooth USB For Bluetooth Service (Btcsrusb) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\btcusb.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ElbyCDFL - SlySoft, Inc. - C:\WINDOWS\SYSTEM32\Drivers\ElbyCDFL.sys

O23 - Service: ElbyDelay - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\Drivers\ElbyDelay.sys

O23 - Service: Lavalys EVEREST Kernel Driver (EverestDriver) - Unknown owner - C:\Archivos de programa\Lavalys\EVEREST Ultimate Edition\kerneld.wnt (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: IVT Bluetooth Bus Service (IvtBtBUs) - IVT Corporation. - C:\WINDOWS\SYSTEM32\Drivers\IvtBtBus.sys

O23 - Service: McAfee Inc. MfeAVFK (MfeAVFK) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\MfeAVFK.sys

O23 - Service: McAfee Inc. MfeBOPK (MfeBOPK) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\MfeBOPK.sys

O23 - Service: McAfee Inc. MfeRKDK (MfeRKDK) - McAfee, Inc. - C:\WINDOWS\SYSTEM32\drivers\MfeRKDK.sys

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe

O23 - Service: Nokia USB Phone Parent (nmwcd) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmb.sys

O23 - Service: Nokia USB Generic (nmwcdc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\ccdcmbo.sys

O23 - Service: Nokia USB Flashing Phone Parent (nmwcdnsu) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsu.sys

O23 - Service: Nokia USB Flashing Generic (nmwcdnsuc) - Nokia - C:\WINDOWS\SYSTEM32\drivers\nmwcdnsuc.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: PCCS Mode Change Filter Driver (pccsmcfd) - Nokia - C:\WINDOWS\SYSTEM32\DRIVERS\pccsmcfd.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: upperdev - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\usbser_lowerflt.sys (file missing)

O23 - Service: Virtual Serial port driver (VComm) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\VComm.sys (file missing)

O23 - Service: Bluetooth VComm Manager Service (VcommMgr) - Unknown owner - C:\WINDOWS\SYSTEM32\Drivers\VcommMgr.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: McShield - McAfee, Inc. - C:\ARCHIV~1\McAfee\MANAGE~1\VScan\McShield.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe



50 Servicios.

14 de Carga Automatica.

[lucl]

Lo del antivirus sera posiblemente por que el bagle se lo carga, asi que lo unico que tienes que hacer es reinstalar de nuevo el antivirus y listo, pruebalo y nos cuentas si podemos dar el tema por solucionado, saludos

[angeltom]

Solucionado! Gracias! :D

[msc hotline sat]

Sí, es típico que el Bagle dañe el antivirus y haya que reinstalarlo.



Pues celebramos que se haya solucionado, tras lo que procedemos a cerrar el Tema



Si nos necesita de nuevo, ya sabe donde estamos



saludos



mns, 26-10-2008