Un troyano me ha dejado sin conexión

adsl21 · Mensaje por **adsl21** » 12 Feb 2007, 13:05

Hola. Tengo un problema serio con el ordenador. El 10 de febrero abrí inadvertidamente un fichero exe y me lo infectó. Lo noté porque el ejecutable del Kaspersky había desaparecido y además había perdido la conexión a Internet. Llevé el fichero a otro ordenador para chequearlo y el Kaspersky (que estaba actualizado) lo reconoció como “bagle.hp”. En mi ordenador no servía el antivirus porque llevaba tiempo sin actualizar las bases y no detectó nada. No podía actualizar mi antivirus porque me deshabilitó la conexión inalámbrica. En el otro bajé el elibagle y lo moví al mío. Lo pasé y neutralizó tres archivos ejecutables que había creado en la carpeta hidires.

Tras esto seguía sin red inalámbrica e intenté un punto de restauración (Windows XP SP2) al día anterior a la infección pero no he conseguido que lo haga.

Al ver las propiedades de la red inalámbrica ha desaparecido la pestaña “Redes inalámbricas”. En fin, no sé qué hacer para volver a habilitar la red. Creo que la neutralización del bagle no ha sido suficiente para resolver el problema.

Agradecería vuestra ayuda.

Mensaje por **msc hotline sat** » 12 Feb 2007, 13:38

Si restauraste a un punto anterior a la infeccion, no deberias tener problemas,

De todas formas, posteanos el contenido de c:\infosat.txt para ver de qué variante se trataba y ver lo que sabemos que hace (de entrada detener los residentes de seguridad, pero en tu caso hizo algo mas...)

Pero mira con el ELRSTRUI.EXE si encuentras un punto anterior a este que hiciste, quizas no fue suficiente:

ELRSTRUI

http://www.zonavirus.com/datos/descargas/258/elrstruiexe.asp

Despues no te olvides de lanzar un windowsupdate para actualizar los parches, ya que todas las aplicaciones instaladas posterioremente a dicho punto de restauracion, deberán volverse a instalar, incluidos parches.

y nos cuentas el reultado, gracias

saludos

ms, 12-02-2007

adsl21 · Mensaje por **adsl21** » 12 Feb 2007, 23:53

Gracias por la rapidez en contestarme.

No puedo restaurar el sistema a ningún punto anterior. Cuando ejecuto el programa de restauración del sistema, al final me dice: "Restauración incompleta. No se puede restaurar su equipo. No se hicieron cambios al equipo". Lo mismo me ha ocurrido cuando lo he hecho con el ELRSTRUI.

Nada, sigo sin conexión (os envío este mensaje desde otro ordenador). No sé qué más hacer.

Os envío el infosat.txt

Gracias de nuevo.

Nuker · Mensaje por **Nuker** » 12 Feb 2007, 23:55

No subas el archivo. Copia el contenido del bloc de notas y pegalo aqui como parte de tu respuesta, por que sino pierde su estructura y no se puede leer bien. Gracias...

adsl21 · Mensaje por **adsl21** » 12 Feb 2007, 23:59

~~[b]~~¡Ah!, perdón. Repito entero el mensaje anterior:[/b]

Gracias por la rapidez en contestarme.

No puedo restaurar el sistema a ningún punto anterior. Cuando ejecuto el programa de restauración del sistema, al final me dice: "Restauración incompleta. No se puede restaurar su equipo. No se hicieron cambios al equipo". Lo mismo me ha ocurrido cuando lo he hecho con el ELRSTRUI.

Nada, sigo sin conexión (os envío este mensaje desde otro ordenador). No sé qué más hacer.

El infosat.txt es este:

Sun Feb 11 17:23:22 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.09

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\N\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.09

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\N\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.09

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Eliminado Bagle

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

Sun Feb 11 17:32:06 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Gracias de nuevo.

MrKogoyo · Mensaje por **MrKogoyo** » 13 Feb 2007, 00:07

Pues como vez, te pide que envies muestras para analizarlos

[quote]Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.09 [/quote]

[quote]Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.09 [/quote]

[quote]Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.09 [/quote]

~~[b]~~¿COMO ENVIAR?:[/b]

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

~~[b]~~Slds. ¡¡

MrKogoyo.[/b]

adsl21 · Mensaje por **adsl21** » 13 Feb 2007, 10:09

Acabo de enviarlas.

Gracias.

Mensaje por **msc hotline sat** » 13 Feb 2007, 11:08

Me informan que no ha llegado a recibirse el envio por culpa de ser interceptado por algun antivirus.

Repite el envio empaquetando el conjunto de ficheros ewn un ZIP o RAR con password VIRUS y asi nadie lo interceptará

Saludos

ms, 13-02-2007

adsl21 · Mensaje por **adsl21** » 13 Feb 2007, 11:27

Ya está. Lo envié comprimido sin password pero luego he enviado el bueno, tal y como me has indicado.

Mensaje por **msc hotline sat** » 13 Feb 2007, 11:33

Pues de nuevo te lo han interceptado, y no es normal que puedan hacerlo en un empaquetado con password, pues ello encripta el paquete y lo hace indetectable.

Hace 15 años que enviamos asi las muestras a McAfee sin problemas ...

Como que lo haces con RAR, verifica que vayas a opciones avanzadas para poner password y utiliza el nombre VIRUS para ello, y vuelvenoslo a enviar, gracias

saludos

ms, 13-02-2007

adsl21 · Mensaje por **adsl21** » 13 Feb 2007, 13:06

A ver ahora. He metido la contraseña y he marcado la opción de encriptar nombre del archivo.

En el asunto he puesto "cuarto intento" para no perdernos.

Gracias

Mensaje por **msc hotline sat** » 13 Feb 2007, 14:01

Por fin ha llegado.

Procedemos a analizarlo, aunque está claro que es una nueva variante de Bagle

Efectivamente, aunque el M_Hook ya se controla con la version disponible en la web actualmente (10.11), se implementa la deteccion y eliminacion de los otros dos ficheros en la version que estamos haciendo hoy (10.12) y que estará disponible para evaluacion a partir de las 20 h en esta web, a traves del mismo link de descarga

saludos

ms, 13-02-2007

adsl21 · Mensaje por **adsl21** » 13 Feb 2007, 14:25

¿Te refieres a volver a bajar el link del elibagle a partir de las 20h de hoy?

Mensaje por **msc hotline sat** » 13 Feb 2007, 14:31

A volver a bajar el ELIBAGLA, desde el mismo link, para obtener la ultima version, que para entonces será la 10.12

saludos

ms, 13-02-2007

adsl21 · Mensaje por **adsl21** » 13 Feb 2007, 15:19

¡OK!, estaré atento. Ya os contaré.

Mensaje por **msc hotline sat** » 13 Feb 2007, 16:08

A partir de las 20 h lo habremos subido, descargalo, pruebalo y nos posteas el contenido de c:\infosat.txt y si ya ves en los añadidos finales que se ha detectado y eliminado, ya comprueba que no persista ninguna otra anomalía y nos lo indicas para poder considerar el Tema como solucionado, gracias

saludos

ms, 13-02-2007

adsl21 · Mensaje por **adsl21** » 13 Feb 2007, 21:13

He descargado la versión 10.12, la he pasado y no ha ocurrido nada. Solamente ha detectado lo que había en la carpeta Muestras. Sigo sin conexión como al principio, con el aspa roja en el icono de la inalámbrica.

Este es el contenido del InfoSat.txt (completo, desde el 11 hasta hoy):

Sun Feb 11 17:23:22 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.09

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\N\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.09

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\N\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.09

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Eliminado Bagle

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

Sun Feb 11 17:32:06 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 13 17:26:52 2007

EliBagle v10.12 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Feb 13 17:26:58 2007

EliBagle v10.12 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\HIDR.EXE.MUESTRA ELIBAGLE V10.09 --> Eliminado Bagle

C:\Muestras\HLDRRR.EXE.MUESTRA ELIBAGLE V10.09 --> Eliminado Bagle.dldr

C:\Muestras\M_HOOK.SYS.MUESTRA ELIBAGLE V10.09 --> Eliminado Bagle (rootkit)

Saludos

Mensaje por **lucl** » 13 Feb 2007, 21:17

pues aqui dice que te quito todo esto

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\HIDR.EXE.MUESTRA ELIBAGLE V10.09 --> Eliminado Bagle

C:\Muestras\HLDRRR.EXE.MUESTRA ELIBAGLE V10.09 --> Eliminado Bagle.dldr

C:\Muestras\M_HOOK.SYS.MUESTRA ELIBAGLE V10.09 --> Eliminado Bagle (rootkit)

reiniciaste y miraste a ver que pasa? nos cuentas, saludos

adsl21 · Mensaje por **adsl21** » 13 Feb 2007, 21:35

Me quitó lo que había en la carpeta muestras. Esa carpeta la creó ELIBAGLA para poder enviaros un reporte si me lo pedíais. Tras reiniciar el ordenador todo parece normal pero mi conexión continúa deshabilitada y la pestaña "Redes inalámbricas" sigue sin aparecer. Ocurrió justo en el momento en el que hice doble clic en el bagle y aún no se ha resuelto.

Es posible que sea el único resto que quede del bagle pero es vital y no sé cómo solucionarlo.

Saludos

Mensaje por **lucl** » 13 Feb 2007, 22:39

lo se lo se, pero es que es dificil saber lo que acaba haciendo un virus, ya sabes que muchas veces hay que reinstalar muchas cosas de nuevo por el daño que hacen, saludos.

Nuker · Mensaje por **Nuker** » 13 Feb 2007, 22:42

Posteanos tu log de HJT para checar procesos, abres, scan and save log file copias contenido de bloc de notas y lo pegas aqui. Todo esto en modo normal.

HJT:

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

adsl21 · Mensaje por **adsl21** » 13 Feb 2007, 23:13

Este es el log de hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 22:12:49, on 13/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\CONCEPTRONIC Multimedia\CTVFMi2 Utilities\P3XRCtl.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\msiexec.exe

C:\Documents and Settings\n\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKCU\..\Run: [updateMgr] C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_7 -reboot 1

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Acceso directo a Nuevo Documento de Microsoft Word.lnk = C:\Documents and Settings\n\Escritorio\Nuevo Documento de Microsoft Word.doc

O4 - Startup: desktop(2)(2).ini

O4 - Startup: desktop(2)(3).ini

O4 - Startup: desktop(2).ini

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: desktop(2)(2).ini

O4 - Global Startup: desktop(2)(3).ini

O4 - Global Startup: desktop(2).ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Remote Control.lnk = C:\Archivos de programa\CONCEPTRONIC Multimedia\CTVFMi2 Utilities\P3XRCtl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} (InstallShield Setup Player 2K2) - http://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Saludos

Nuker · Mensaje por **Nuker** » 13 Feb 2007, 23:18

Haga Fix Checked a estas en modo seguro:

O4 - Startup: desktop(2)(2).ini

O4 - Startup: desktop(2)(3).ini

O4 - Startup: desktop(2).ini

O4 - Global Startup: desktop(2)(2).ini

O4 - Global Startup: desktop(2)(3).ini

O4 - Global Startup: desktop(2).ini

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Reinicie y comentenos resultados...

Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

adsl21 · Mensaje por **adsl21** » 14 Feb 2007, 00:09

Ya lo he hecho en modo seguro.

Los items siguientes no aparecían ahora al hacer el scan:

O4 - Startup: desktop(2)(2).ini

O4 - Startup: desktop(2)(3).ini

De los 5 que sí aparecían, en 4 no me ha dejado eliminarlos porque decía que tal vez estaban siendo usados por el sistema (pero en el administrador de tareas no los he visto):

O4 - Startup: desktop(2).ini

O4 - Global Startup: desktop(2)(2).ini

O4 - Global Startup: desktop(2)(3).ini

O4 - Global Startup: desktop(2).ini

Con lo cual, sólo he podido eliminar uno:

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

He reiniciado el ordenador y todo sigue igual, la inalámbrica sigue con el aspa roja.

Saludos

Mensaje por **msc hotline sat** » 14 Feb 2007, 08:16

Prueba el ELISTARA que tienes troyanos que eliminar:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 14-02-2007

adsl21 · Mensaje por **adsl21** » 14 Feb 2007, 09:59

Lo haré. Espero tener un hueco en la sobremesa, si no por la noche.

Mientras, sólo comentaros un detalle, no sé si será importante. Ayer pasé el programa Tune Up para limpiar porquería del registro (lo hago en el trabajo de vez en cuando y funciona perfectamente) y en mi ordenador creó por cada fichero lnk dos accesos directos, con el mismo nombre y acabado en (2) y (3). Supongo que esto no sólo ha ocurrido con ficheros lnk. Revisaré los ini duplicados que detectó el HijackThis y me los cargaré antes de pasar el ELISTARA, a no ser que me lo desaconsejéis.

Espero no haber complicado las cosas.

Saludos

Mensaje por **msc hotline sat** » 14 Feb 2007, 10:50

Si lo conoces y sabes lo que hace, aprovechalo. Nosotros no utilizamos herramientas que no sepamos lo que hacen...

Si primero ejecutas el ELISTARA y tras ello posteas el c:\infosat.txt y lanzas el HJT y nos ofreces el log, mejor, y luego haz lo que quieras, pero asi sabremos donde estamos y lo que falta por hacerf, y veremos lo que tras ello hace lo que utilices posteriormente

saludos

ms, 14-02-2007

adsl21 · Mensaje por **adsl21** » 14 Feb 2007, 17:27

He pasado ELISTARA, he reinicado el ordenador y sigo sin conexión. Este es el InfoSat.txt:

Sun Feb 11 17:23:22 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.09

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\N\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.09

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\N\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.09

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Eliminado Bagle

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

Sun Feb 11 17:32:06 2007

EliBagle v10.09 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 13 17:26:52 2007

EliBagle v10.12 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Feb 13 17:26:58 2007

EliBagle v10.12 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\HIDR.EXE.MUESTRA ELIBAGLE V10.09 --> Eliminado Bagle

C:\Muestras\HLDRRR.EXE.MUESTRA ELIBAGLE V10.09 --> Eliminado Bagle.dldr

C:\Muestras\M_HOOK.SYS.MUESTRA ELIBAGLE V10.09 --> Eliminado Bagle (rootkit)

Wed Feb 14 16:18:15 2007

EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 14 16:19:14 2007

EliStartPage v13.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\RECYCLER\S-1-5-21-839522115-1659004503-725345543-1003\Dc25\5.0\Bases\Patches\PATCH_PERS_5.0.388_390_TO_5.0.391(2).EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-839522115-1659004503-725345543-1003\Dc25\5.0\Bases\Patches\PATCH_PERS_5.0.388_390_TO_5.0.391.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-839522115-1659004503-725345543-1003\Dc25\5.0\Bases\Patches\PATCH_PERS_5.0.388_TO_5.0.390(2).EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-839522115-1659004503-725345543-1003\Dc25\5.0\Bases\Patches\PATCH_PERS_5.0.388_TO_5.0.390.EXE --> AutoExtraible

Ahora voy a lanzar el HJT y os paso el log.

Saludos

adsl21 · Mensaje por **adsl21** » 14 Feb 2007, 17:33

Este es el log del HJT:

Logfile of HijackThis v1.99.1

Scan saved at 16:33:21, on 14/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\CONCEPTRONIC Multimedia\CTVFMi2 Utilities\P3XRCtl.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\n\Escritorio\Antivirus Juan Luis - Casa\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKCU\..\Run: [updateMgr] C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_7 -reboot 1

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Acceso directo a Nuevo Documento de Microsoft Word.lnk = C:\Documents and Settings\n\Escritorio\Nuevo Documento de Microsoft Word.doc

O4 - Startup: desktop(2)(2).ini

O4 - Startup: desktop(2)(3).ini

O4 - Startup: desktop(2).ini

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: desktop(2)(2).ini

O4 - Global Startup: desktop(2)(3).ini

O4 - Global Startup: desktop(2).ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Remote Control.lnk = C:\Archivos de programa\CONCEPTRONIC Multimedia\CTVFMi2 Utilities\P3XRCtl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} (InstallShield Setup Player 2K2) - http://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Saludos

Mensaje por **msc hotline sat** » 14 Feb 2007, 19:10

Pues ya se eliminaron las muestras de bagle con lo que el ordenador ha quedado limpio de polvo y paja.

hay entradas en el registro que no conozco pero no son viricas

Lo que puede probar por si se hubiera dañado algo del sistema es hacer una reparacion del mismo:

[quote]
Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate
[/quote]

saludos

ms, 14-02-2007