ANTIVIRUS DESAPARECIDO

[sopamari]

Hola!

Llevo toda la tarde intentando recomponer el PC, el desastre ha comenzado cuando ha desaparecido el antivirus; he ido leyendo por ahi y cuando he pasado el panda on line ya he visto el problema el maldito BAGLE.HX, asi que siguiendo instrucciones de otros post he pasado elibagle,elitriip y elistara primero de manera normal y luego en modo a prueba de fallos y he visto que iban encontrando y borrando cosas; os adjunto el informe



Sat Feb 10 22:32:01 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.09

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\CRISTI\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CRISTI\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.09

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"



Sat Feb 10 22:33:19 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sat Feb 10 22:46:23 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Eliminado

Eliminada Carpeta "%AppData%\Hidires"



Sat Feb 10 22:46:32 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sat Feb 10 23:47:27 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Feb 10 23:47:28 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Feb 11 00:35:19 2007

EliTriIP v3.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Cristi\Escritorio\juegos\Strike Ball 2v1.02-Crk\Strike Ball 2 Crack.exe --> Eliminado, Bifrose (dropper)

C:\WINDOWS\SiSport.sys --> Eliminado, RootKit



Sun Feb 11 00:45:37 2007

EliTriIP v3.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Feb 11 01:17:02 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\AdCache"

Eliminada Carpeta "%WinSys%\LogFiles"



Sun Feb 11 01:17:13 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\Archivos de programa\Archivos comunes\Roxio Shared\SharedCOM\CPSNAVIGATIONBARCONTROL.DLL --> Eliminado, 180Solutions

C:\Archivos de programa\Crystal Cave Gold\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Motorola Phone Tools\MPT_TEST_INFO.EXE --> Eliminado, Shorty (dropper)

C:\Archivos de programa\Screamer Radio\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\XviD\UNINSTXVID.EXE --> AutoExtraible

C:\Documents and Settings\Cristi\Escritorio\Galaxis\INSGEN V2.0RC2.EXE --> AutoExtraible

C:\Documents and Settings\Cristi\Escritorio\Galaxis\firm\FCIS_Util_v1_04\FCISUTL.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)

C:\Documents and Settings\Cristi\Escritorio\Galaxis\shop\INSGEN V2.0RC2.EXE --> AutoExtraible

C:\Documents and Settings\Cristi\Escritorio\juegos\Crystal Cave Gold v1.8\Setup\CRYSTALCAVEGOLD.EXE --> AutoExtraible

C:\Documents and Settings\Cristi\Escritorio\libros\FULL_SETUP.EXE --> Eliminado, Beginto

C:\Documents and Settings\Cristi\Escritorio\libros\XVID_INSTALL.EXE --> AutoExtraible

C:\Downloads\CRYSTALCAVECHRISTMASSSETUP.EXE --> AutoExtraible



Sun Feb 11 01:46:40 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Feb 11 01:46:43 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Feb 11 01:57:50 2007

EliTriIP v3.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Feb 11 02:00:29 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Feb 11 02:00:31 2007

EliStartPage v13.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Crystal Cave Gold\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Screamer Radio\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\XviD\UNINSTXVID.EXE --> AutoExtraible

C:\Documents and Settings\Cristi\Escritorio\Galaxis\INSGEN V2.0RC2.EXE --> AutoExtraible

C:\Documents and Settings\Cristi\Escritorio\Galaxis\shop\INSGEN V2.0RC2.EXE --> AutoExtraible

C:\Documents and Settings\Cristi\Escritorio\juegos\Crystal Cave Gold v1.8\Setup\CRYSTALCAVEGOLD.EXE --> AutoExtraible

C:\Documents and Settings\Cristi\Escritorio\libros\XVID_INSTALL.EXE --> AutoExtraible

C:\Downloads\CRYSTALCAVECHRISTMASSSETUP.EXE --> AutoExtraible

El caso es que aunque he observado que ha mejorado ya que he recuperado la alerta de firewall todavia no consigo recuperar el antivirus y creo que puede estar infectado tambien pues utilizando el programa RKUnhooker me reporta lo siguiente

>SSDT State

NtClose

Actual Address 0xED7AB966

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\regspy.sys



NtCreateKey

Actual Address 0xED7AB918

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\regspy.sys



NtCreatePagingFile

Actual Address 0xF866DB00

Hooked by: a347bus.sys



NtDeleteKey

Actual Address 0xED7AB9D2

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\regspy.sys



NtDeleteValueKey

Actual Address 0xED7ABA00

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\regspy.sys



NtEnumerateKey

Actual Address 0xED7ABD78

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\regspy.sys



NtEnumerateValueKey

Actual Address 0xED7ABDEE

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\regspy.sys



NtFlushKey

Actual Address 0xED7AB9A4

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\regspy.sys



NtLoadKey

Actual Address 0xED7ABE66

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\regspy.sys



NtOpenFile

Actual Address 0xED86CA19

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\filespy.sys



NtOpenKey

Actual Address 0xED7AB8D6

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\regspy.sys



NtQueryKey

Actual Address 0xED7ABDB4

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\regspy.sys



NtQueryValueKey

Actual Address 0xED7ABE2A

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\regspy.sys



NtSetSystemPowerState

Actual Address 0xF8679550

Hooked by: a347bus.sys



NtSetValueKey

Actual Address 0xED7ABAAF

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\regspy.sys



NtUnloadKey

Actual Address 0xED7ABE96

Hooked by: C:\Archivos de programa\Softwin\BitDefender Professional Edition\regspy.sys



>Processes

>Drivers

>Files

>Hooks

[3636]iexplore.exe-->user32.dll-->DialogBoxIndirectParamA, Type: Inline - RelativeJump at address 0x77D56CAD hook handler located in [IEFRAME.dll]

[3636]iexplore.exe-->user32.dll-->DialogBoxIndirectParamW, Type: Inline - RelativeJump at address 0x77D32043 hook handler located in [IEFRAME.dll]

[3636]iexplore.exe-->user32.dll-->DialogBoxParamA, Type: Inline - RelativeJump at address 0x77D3B11C hook handler located in [IEFRAME.dll]

[3636]iexplore.exe-->user32.dll-->DialogBoxParamW, Type: Inline - RelativeJump at address 0x77D2662C hook handler located in [IEFRAME.dll]

[3636]iexplore.exe-->user32.dll-->MessageBoxExA, Type: Inline - RelativeJump at address 0x77D5055C hook handler located in [IEFRAME.dll]

[3636]iexplore.exe-->user32.dll-->MessageBoxExW, Type: Inline - RelativeJump at address 0x77D50538 hook handler located in [IEFRAME.dll]

[3636]iexplore.exe-->user32.dll-->MessageBoxIndirectA, Type: Inline - RelativeJump at address 0x77D3A05A hook handler located in [IEFRAME.dll]

[3636]iexplore.exe-->user32.dll-->MessageBoxIndirectW, Type: Inline - RelativeJump at address 0x77D66093 hook handler located in [IEFRAME.dll]

!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)



Asi pues estoy hecha un lío, para no dejarme nada os adjunto el reporte del HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 2:23:41, on 11/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\sm56hlpr.exe

C:\Archivos de programa\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\878RMT.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

C:\WINDOWS\PowerS.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\msiexec.exe

C:\Archivos de programa\LiveUpdate\LiveUpdate.exe

C:\Archivos de programa\Pando Networks\Pando\pando.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\honestech\honestech TVR\scheduleTV.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\SOPHTEMP\sargui.exe

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PCI TV Card Remote Control Applet] C:\WINDOWS\878RMT.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [BDNewsAgent] C:\archiv~1\softwin\bitdef~1\bdnagent.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [BTCLiveUpdate] "C:\Archivos de programa\LiveUpdate\LiveUpdate.exe" /autostart

O4 - HKCU\..\Run: [RapidCheck] C:\Archivos de programa\RapidCheck\RapidCheck.exe

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\pando.exe" /Minimized

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: ScheduleTV.lnk = C:\Archivos de programa\honestech\honestech TVR\scheduleTV.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by12fd.bay12.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1260216269750

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

O16 - DPF: {D79B6F43-F214-4E7A-9ECB-CCC8771F2416} (LauncherV1 Class) - http://irc.tapuz.co.il/chat_new/launcher.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe



Perdón por el rollo, espero que podais ayudarme,

Gracias por anticipado



Se me olvidaba os envie las muestras creada por si sirve de ayuda

[MrKogoyo]

Hola

De partida empesaste bien, hiciste la mayoriade las cosas tu (pasar las herramientas, enviar las muestras, el hijackthis)



Estos procesos lo veo raros:



C:\WINDOWS\sm56hlpr.exe



C:\WINDOWS\878RMT.exe



C:\WINDOWS\PowerS.exe



¿los reconoces?

[b]

slds. ¡¡

MrKogoyo.[/b]

[sopamari]

Gracias por responder tan rapido;esos tres procesos creo que los tengo identificados:

sm56hlpr------es un driver del cable de motorola

878rmt--------esta relacionado con la tarjeta de tv

powers--------creo queesta relacionado con la tarjeta grafica.



Alguna sugerencia?

Gracias

[msc hotline sat]

Has tenido varios bichos, y algunos de nuevos que hay que ver quÉ han podido hacer.



Se te pide en el infosat que nos envies muestras:


[quote]
Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.09



Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.09
[/quote]

SI no lo has hecho hazlo para poderlas analizar, tras lo cual informaremos





Y ELIMINA ESTA CLAVE:



O16 - DPF: {D79B6F43-F214-4E7A-9ECB-CCC8771F2416} (LauncherV1 Class) - http://irc.tapuz.co.il/chat_new/launcher.cab





recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 11-02-2007

[sopamari]

He eliminado la clave y ya os envie las muestras...espero que podais decirme algo.

Gracias

[msc hotline sat]

Mañana a la vuelta al trabajo en SATINFO los analizaremos y pasaran a ser controlador por la nueva version del ELIBAGLA



Pero ya han sido movidos a cuarentena, por lo que tras reiniciar ya no deberías tener problemas



Si ello persisten, posteanos log del HJT, no sea que haya algo mas...



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 11-02-2007

[sopamari]

Gracias por las contestaciones, como soy bastante cabezota sigo investigando por ahi,os dejo los resultados de dos rootkit que he pasado porque veo que hay un problema pero no se si cargandome esos archivos lo soluciono o sera peor, ahi van:

Service name Syscall Address Hooked Module Product Company Description

---------------------------------------------------------------------------------------------------------------------------------------------------------

NtClose, ZwClose 25 0xED1F5966 YES regspy.sys

NtCreateKey, ZwCreateKey 41 0xED1F5918 YES regspy.sys

NtCreatePagingFile, ZwCreatePagingFile 45 0xF866DB00 YES a347bus.sys Plug and Play BIOS Extension

NtDeleteKey, ZwDeleteKey 63 0xED1F59D2 YES regspy.sys

NtDeleteValueKey, ZwDeleteValueKey 65 0xED1F5A00 YES regspy.sys

NtEnumerateKey, ZwEnumerateKey 71 0xED1F5D78 YES regspy.sys

NtEnumerateValueKey, ZwEnumerateValueKey 73 0xED1F5DEE YES regspy.sys

NtFlushKey, ZwFlushKey 79 0xED1F59A4 YES regspy.sys

NtLoadKey, ZwLoadKey 98 0xED1F5E66 YES regspy.sys

NtOpenFile, ZwOpenFile 116 0xED806A19 YES filespy.sys

NtOpenKey, ZwOpenKey 119 0xED1F58D6 YES regspy.sys

NtOpenProcess, ZwOpenProcess 122 0xF8D638AC YES guard.sys

NtQueryKey, ZwQueryKey 160 0xED1F5DB4 YES regspy.sys

NtQueryValueKey, ZwQueryValueKey 177 0xED1F5E2A YES regspy.sys

NtSetSystemPowerState, ZwSetSystemPowerState 241 0xF8679550 YES a347bus.sys Plug and Play BIOS Extension

NtSetValueKey, ZwSetValueKey 247 0xED1F5AAF YES regspy.sys

NtTerminateProcess, ZwTerminateProcess 257 0xF8D63812 YES guard.sys

NtUnloadKey, ZwUnloadKey 263 0xED1F5E96 YES regspy.sys

y he encontrado en mis documentos unos cambios de entradas de registro que coinciden mas o menos con el momento de la catastrofe...

Alguna idea????

Gracias

[msc hotline sat]

Sí, que postees el log del HJT lanzado arrancando en modo seguro.



saludos



ms. 11-02-2007

[sopamari]

Te adjunto el nuevo reporte hecho a modo seguro:Logfile of HijackThis v1.99.1

Scan saved at 23:17:08, on 11/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PCI TV Card Remote Control Applet] C:\WINDOWS\878RMT.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [BDNewsAgent] C:\archiv~1\softwin\bitdef~1\bdnagent.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [BTCLiveUpdate] "C:\Archivos de programa\LiveUpdate\LiveUpdate.exe" /autostart

O4 - HKCU\..\Run: [RapidCheck] C:\Archivos de programa\RapidCheck\RapidCheck.exe

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\pando.exe" /Minimized

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: ScheduleTV.lnk = C:\Archivos de programa\honestech\honestech TVR\scheduleTV.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by12fd.bay12.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1260216269750

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe



Por cierto no si tendra algo que ver pero de tantas vueltas que le he dado al PC he encontrado que en la carpeta Mis documentos hay dos ficheros catalogados entradas de registro y que aparecen modificados justo ayer cuando comezo todo...Puede tener algo que ver o como han llegado ahí?

Bueno gracias por todo...espero a ver si encontrais algo

[Nuker]

Enviales dichos fichero que encontraste para que los analizen... Asi te quitas de dudas.



Recuerda:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[sopamari]

Sigo dandole vueltas al temita...he pasado el karpersky on line y me ofrece el siguiente resultado:

Número de objeros analizados 67102

Virus encontrados 1

Objetos infectados 13 / 0

Objetos sospechosos 0

Duración del análisis 01:11:51



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Telco\WinPlex\SCORE.DAT Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Dr Watson\user.dmp Object is locked saltado



C:\Documents and Settings\Cristi\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado



C:\Documents and Settings\Cristi\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Cristi\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Cristi\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Cristi\Configuración local\Datos de programa\Pando\Pando Files\cert\cert8.db Object is locked saltado



C:\Documents and Settings\Cristi\Configuración local\Datos de programa\Pando\Pando Files\cert\key3.db Object is locked saltado



C:\Documents and Settings\Cristi\Configuración local\Datos de programa\Pando\Pando Files\pando.log Object is locked saltado



C:\Documents and Settings\Cristi\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Cristi\Configuración local\Historial\History.IE5\MSHist012007021120070212\index.dat Object is locked saltado



C:\Documents and Settings\Cristi\Configuración local\Temp\hpodvd09.log Object is locked saltado



C:\Documents and Settings\Cristi\Configuración local\Temp\~DF5F97.tmp Object is locked saltado



C:\Documents and Settings\Cristi\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Cristi\ntuser.dat Object is locked saltado



C:\Documents and Settings\Cristi\NTUSER.DAT.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Muestras\HIDR.EXE.Muestra EliBagle v10.09 Infectados: Email-Worm.Win32.Bagle.ht saltado



C:\Muestras\HIDR.EXE.Muestra EliBagle v10.rar/HIDR.EXE.Muestra EliBagle v10.09 Infectados: Email-Worm.Win32.Bagle.ht saltado



C:\Muestras\HIDR.EXE.Muestra EliBagle v10.rar RAR: infectado - 1 saltado



C:\sti.log Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{AAE127A0-B0DF-49DB-A7F1-AA216F899755}\RP742\A0134063.sys Infectados: Email-Worm.Win32.Bagle.ht saltado



C:\System Volume Information\_restore{AAE127A0-B0DF-49DB-A7F1-AA216F899755}\RP743\A0134080.sys Infectados: Email-Worm.Win32.Bagle.ht saltado



C:\System Volume Information\_restore{AAE127A0-B0DF-49DB-A7F1-AA216F899755}\RP744\A0134089.sys Infectados: Email-Worm.Win32.Bagle.ht saltado



C:\System Volume Information\_restore{AAE127A0-B0DF-49DB-A7F1-AA216F899755}\RP744\A0134112.sys Infectados: Email-Worm.Win32.Bagle.ht saltado



C:\System Volume Information\_restore{AAE127A0-B0DF-49DB-A7F1-AA216F899755}\RP744\A0134114.exe Infectados: Email-Worm.Win32.Bagle.ht saltado



C:\System Volume Information\_restore{AAE127A0-B0DF-49DB-A7F1-AA216F899755}\RP744\A0134300.sys Infectados: Email-Worm.Win32.Bagle.ht saltado



C:\System Volume Information\_restore{AAE127A0-B0DF-49DB-A7F1-AA216F899755}\RP744\A0134315.exe Infectados: Email-Worm.Win32.Bagle.ht saltado



C:\System Volume Information\_restore{AAE127A0-B0DF-49DB-A7F1-AA216F899755}\RP744\A0134319.exe Infectados: Email-Worm.Win32.Bagle.ht saltado



C:\System Volume Information\_restore{AAE127A0-B0DF-49DB-A7F1-AA216F899755}\RP744\A0134320.exe Infectados: Email-Worm.Win32.Bagle.ht saltado



C:\System Volume Information\_restore{AAE127A0-B0DF-49DB-A7F1-AA216F899755}\RP744\A0134321.exe Infectados: Email-Worm.Win32.Bagle.ht saltado



C:\System Volume Information\_restore{AAE127A0-B0DF-49DB-A7F1-AA216F899755}\RP745\change.log Object is locked saltado



C:\WINDOWS\$NtUninstallKB824141$\user32.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB824141$\win32k.sys Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\hh.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\html32.cnv Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\itss.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\locator.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\magnify.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\narrator.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\newdev.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\ole32.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\osk.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\rpcrt4.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\rpcss.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\shdocvw.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\shell32.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\srv.sys Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\sysmain.sdb Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\urlmon.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\ndis.sys Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\netshell.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\catsrv.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\colbact.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\comadmin.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\comrepl.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\comuid.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\es.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\migregdb.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\ole32.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\rpcss.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB828741$\txflog.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\callcont.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\h323.tsp Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\helpctr.exe Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\msgina.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\mst120.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\netapi32.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB835732$\schannel.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\dao360.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\expsrv.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\msexch40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\msexcl40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\msjet40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\msjetol1.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\msjetoledb40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\msjint40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\msjter40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\msjtes40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\msltus40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\mspbde40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\msrd2x40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\msrd3x40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\msrepl40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\mstext40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\mswdat10.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\mswstr10.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\msxbde40.dll Object is locked saltado



C:\WINDOWS\$NtUninstallKB837001$\vbajet32.dll Object is locked saltado



C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx Object is locked saltado



C:\WINDOWS\$NtUninstallQ828026$\wmpcore.dll Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\drivers\atapi.sys Object is locked saltado



C:\WINDOWS\system32\h323log.txt Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



Análisis completado.



Creo entender de esto que el problema esta en la restauracion del sistema; ¿ Debería desactivarla y pasar otra vez los programas?

No se si estoy en el camino correcto...a ver si mañana con las ideas mas claras consigo por fin eliminarlo

Gracias

[infobl]

yo tenia el mismo problema q tu con lo d blag y tb se m a dsconectao el antivirus, el caso es q e mandao x correo las muestras a la direcion d zonaviru@satinfo.es y en asunto e puesto mi nombre dl nick d ste foro y no stoy seguro si les a llegao mis muestras porq le sigo pasando el elibagla y m salian unos mensajs d q les envie los archivs paq lo analicn.(no entiendo pq m pidn q les envie las muestras porq ya las e ENVIAO)



en fin podrias dcirm como as mandao tu x correo esas muestras?

[msc hotline sat]

Para infobl: mantente en tu Tema y mira en "recuerda..." como enviar las muestras.



y para sopamari, envianos este fichero para analizar, por si no fuera lo que parece:



C:\Archivos de programa\RapidCheck\RapidCheck.exe



recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y no te preocupes que con el ELIBAGLA que hagamos al respecto de tus muestras, ya eliminará los restos de todas partes. A partir de las 20 h de hoy lo descargas, lo pruebas y nos informas posteando de nuevo el infosat.txt.



Pero de momento ya no está activo en memoria, tranquilo !



saludos



ms, 12-02-2007

[msc hotline sat]

Recibidas las muestras de la nueva variante del Bagle, pasamos a implementar su control y eliminacion en la nueva version que estamos haciendo 10.11, que podrá descargarla para evaluacion a partir de las 20 h de hoy



Tras ello, posteenos el contenido de c:\infosat.txt, gracias



saludos



ms, 12-02-2007

[sopamari]

He pasado el nuevo Elibagla y el reporte sale totalmente limpio, y tras desactivar el restaurado del sistema el reporte del Kaspersky sale tambien totalmente limpio; asi que creo que el tema está solucionado, eso si el Bitdefender no he podido volver a hacerlo funcionar (tampoco me he esforzado mucho despues del susto necesitaba un cambio) así que lo he desinstalado y he instalado el AVAST ya os contaré aunque espero sin sobresaltos...lo dicho GRACIAS!!!!!!!!! por la ayuda ha sido mi primer encuentro con un virus y me habeis hecho sentir menos insegura y mas protegida

[msc hotline sat]

(SOLUCIONADO)



[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 13-02-2007

[msc hotline sat]

Aun postcierre hemos recibido el fichero RapidCheck.exe y pasamos a analizarlo. Se informará aqui mismo el resultado.