PC infectado por Virus W32.Bagle & Variantes (SOLUCIONADO)

JuanMaGF · Mensaje por **JuanMaGF** » 16 May 2008, 18:39

Hola, buenas tardes. Es la primera vez que escribo. Estoy realmente desesperado, ya que desde hace 1 semana intento por todos los medios limpiar el PC de un virus, parece ser el Win32.Bagle y variantes, el cual ha bloqueado totalmente cualquier programa, herramienta, utilidad válida para la seguridad del ordenador. Tengo inutilizado el PANDA 08, el CCleaner, el Spybot y otros muchos, incluido generar informes del HijackThis y ComboFix con mensajes NO ES UNA APLICACIÓN WIN32 VÁLIDA, no puedo arrancar a prueba de fallos, restaurar a fecha anterior, etc, en definitiva, buscar la puerta adecuada para atacar el problema de raiz. Estoy necesitado de cualquier ayuda antes de tomar la decisión drástica de FORMATEAR el PC. Como por lo comentado poco puedo aportar, adjunto txt de análisis on line de ACTIVESCAN y de BITDEFENDER para comenzar con algo fiable. Un saludo de antemano y gracias por su atención.

Ordenador:

Tipo de ordenador Equipo multiprocesador ACPI

Sistema operativo Microsoft Windows XP Home Edition

Service Pack del Sistema Operativo Service Pack 3

Internet Explorer 7.0.5730.11 (IE 7.0)

;***********************************************************************************************************************************************************************************

ANALYSIS: 2008-05-15 18:51:05

PROTECTIONS: 1

MALWARE: 6

SUSPECTS: 7

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Windows Defender 1.1.2204.0 No No

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

02895977 HackTool/AsteriskView HackTools No 0 No No C:\Archivos de programa\Passware Kit Enterprise v8.1 2807\setup.exe[ariskkey.dll]

02898934 W32/Bagle.RP.worm Virus/Worm Yes 1 Yes No C:\WINDOWS\SYSTEM32\WINTEMS.EXE

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\854078.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\872312.exe

02898934 W32/Bagle.RP.worm Virus/Worm Yes 1 Yes No C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\mdelk.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\83296.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\100328.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\10323218.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\10366421.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\104125.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\105171.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\111921.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\126406.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\130343.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\138000.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\138953.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\590781.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\1413187.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\1439187.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\14949312.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\14981218.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\152359.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\158796.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\282796.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\165484.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\184718.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\199828.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\208703.exe

02898934 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\downld\245906.exe

02898935 W32/Bagle.RP.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\drivers\srosa.sys

02909907 HackTool/AsteriskView HackTools No 0 No No C:\Archivos de programa\Passware Kit Enterprise v8.1 2807\setup.exe[²ÜÇ\nsisdll.dll]

02927698 W32/Bagle.KV.worm Virus/Worm No 1 Yes No C:\WINDOWS\system32\drivers\downld\68687.exe

02927698 W32/Bagle.KV.worm Virus/Worm No 1 Yes No C:\WINDOWS\system32\drivers\downld\1392843.exe

02927698 W32/Bagle.KV.worm Virus/Worm No 1 Yes No C:\WINDOWS\system32\drivers\downld\163921.exe

02927698 W32/Bagle.KV.worm Virus/Worm No 1 Yes No C:\WINDOWS\system32\drivers\downld\92015.exe

02927698 W32/Bagle.KV.worm Virus/Worm No 1 Yes No C:\WINDOWS\system32\drivers\downld\236656.exe

02972807 W32/Bagle.KV.worm Virus/Worm Yes 2 No No C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

;===================================================================================================================================================================================

SUSPECTS

Sent Location *

;===================================================================================================================================================================================

No C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe *

No C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe *

No C:\WINDOWS\$NtServicePackUninstall$\ntoskrnl.exe *

No C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe *

No C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe *

No C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe *

No C:\WINDOWS\SoftwareDistribution\Download\c90143e38809b5ce94759a9bc8b1e3be\ntoskrnl.exe *

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description *

;===================================================================================================================================================================================

;===================================================================================================================================================================================

BitDefender Online Scanner -Scan ReportBitDefender Online Scanner

Scan report generated at: Wed, May 14, 2008 - 21:46:17

Scan path: A:\;C:\;D:\;E:\;

Statistics

Time00:58:01

Files259332

Folders4749

Boot Sectors2

Archives1912

Packed Files24767

Results

Identified Viruses 5

Infected Files 73

Suspect Files 0

Warnings0

Disinfected0

Deleted Files73

Engines Info

Virus Definitions1191914

Engine buildAVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins16

Archive plugins42

Unpack plugins7

E-mail plugins6

System plugins5

Scan Settings

First ActionDisinfect

Second ActionDelete

HeuristicsYes

Enable WarningsYes

Scanned Extensions*;

Exclude Extensions

Scan EmailsYes

Scan ArchivesYes

Scan PackedYes

Scan FilesYes

Scan BootYes

Scanned File Status

C:\Archivos de programa\ATnotes\ATnotes.exeInfected with:

Trojan.Downloader.Bagle.HU

C:\Archivos de programa\ATnotes\ATnotes.exeDeleted

C:\Archivos de

programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\Archivos de

programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exeDeleted

C:\Archivos de programa\Spybot - Search &

Destroy\TeaTimer.exeInfected with: Trojan.Downloader.Bagle.HU

C:\Archivos de programa\Spybot - Search &

Destroy\TeaTimer.exeDeleted

C:\Documents and Settings\Propietario\Configuración local\Archivos

temporales de Internet\Content.IE5\42IGNXZ9\b64[1].jpgInfected with:

Win32.Bagle.SUQ@mm

C:\Documents and Settings\Propietario\Configuración local\Archivos

temporales de Internet\Content.IE5\42IGNXZ9\b64[1].jpgDeleted

C:\Documents and Settings\Propietario\Configuración local\Archivos

temporales de Internet\Content.IE5\94S193GO\b64_3[1].jpgInfected

with: Win32.Bagle.SUQ@mm

C:\Documents and Settings\Propietario\Configuración local\Archivos

temporales de Internet\Content.IE5\94S193GO\b64_3[1].jpgDeleted

C:\Documents and Settings\Propietario\Configuración local\Datos de

programa\Identities\{D655E402-538D-42EE-B3E7-5B965AD2D456}\Microsoft\Outlook

Express\Elementos enviados.dbx=>(message 1): Desinfecci?n virus

Bable=>[Subject: =?iso-8859-1?Q?Desinfecci=F3n_virus_Ba][Date: Wed,

14 May 2008 16:49:21 +0100]=>(MIME part)=>HLDRRR.EXE.Muestra

EliBagle v11.34Infected with: Trojan.Downloader.Bagle.HU

C:\Documents and Settings\Propietario\Configuración local\Datos de

programa\Identities\{D655E402-538D-42EE-B3E7-5B965AD2D456}\Microsoft\Outlook

Express\Elementos enviados.dbx=>(message 1): Desinfecci?n virus

Bable=>[Subject: =?iso-8859-1?Q?Desinfecci=F3n_virus_Ba][Date: Wed,

14 May 2008 16:49:21 +0100]=>(MIME part)=>HLDRRR.EXE.Muestra

EliBagle v11.34Deleted

C:\Documents and Settings\Propietario\Configuración local\Datos de

programa\Identities\{D655E402-538D-42EE-B3E7-5B965AD2D456}\Microsoft\Outlook

Express\Elementos enviados.dbx=>(message 1): Desinfecci?n virus

Bable=>[Subject: =?iso-8859-1?Q?Desinfecci=F3n_virus_Ba][Date: Wed,

14 May 2008 16:49:21 +0100]=>(MIME part)Updated

C:\Documents and Settings\Propietario\Configuración local\Datos de

programa\Identities\{D655E402-538D-42EE-B3E7-5B965AD2D456}\Microsoft\Outlook

Express\Elementos enviados.dbx=>(message 1): Desinfecci?n virus

BableUpdated

C:\Documents and Settings\Propietario\Configuración local\Datos de

programa\Identities\{D655E402-538D-42EE-B3E7-5B965AD2D456}\Microsoft\Outlook

Express\Elementos enviados.dbx=>(message 1): Desinfecci?n virus

Bable=>[Subject: =?iso-8859-1?Q?Desinfecci=F3n_virus_Ba][Date: Wed,

14 May 2008 16:49:21 +0100]=>(MIME part)=>HLDRRR.EXE.Muestra

EliBagle v11.33Infected with: Trojan.Downloader.Bagle.HU

C:\Documents and Settings\Propietario\Configuración local\Datos de

programa\Identities\{D655E402-538D-42EE-B3E7-5B965AD2D456}\Microsoft\Outlook

Express\Elementos enviados.dbx=>(message 1): Desinfecci?n virus

Bable=>[Subject: =?iso-8859-1?Q?Desinfecci=F3n_virus_Ba][Date: Wed,

14 May 2008 16:49:21 +0100]=>(MIME part)=>HLDRRR.EXE.Muestra

EliBagle v11.33Deleted

C:\Documents and Settings\Propietario\Configuración local\Datos de

programa\Identities\{D655E402-538D-42EE-B3E7-5B965AD2D456}\Microsoft\Outlook

Express\Elementos enviados.dbx=>(message 1): Desinfecci?n virus

Bable=>[Subject: =?iso-8859-1?Q?Desinfecci=F3n_virus_Ba][Date: Wed,

14 May 2008 16:49:21 +0100]=>(MIME part)Updated

C:\Documents and Settings\Propietario\Configuración local\Datos de

programa\Identities\{D655E402-538D-42EE-B3E7-5B965AD2D456}\Microsoft\Outlook

Express\Elementos enviados.dbx=>(message 1): Desinfecci?n virus

BableUpdated

C:\Documents and Settings\Propietario\Configuración local\Datos de

programa\Identities\{D655E402-538D-42EE-B3E7-5B965AD2D456}\Microsoft\Outlook

Express\Elementos enviados.dbxUpdated

C:\Documents and Settings\Propietario\Datos de

programa\m\data.octInfected with: MemScan:Trojan.Downloader.Bagle.HV

C:\Documents and Settings\Propietario\Datos de

programa\m\data.octDeleted

C:\Muestras\FLEC006.EXE.Muestra EliBagle v11.34Infected with:

Trojan.Downloader.Bagle.HU

C:\Muestras\FLEC006.EXE.Muestra EliBagle v11.34Deleted

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.33Infected with:

Trojan.Downloader.Bagle.HU

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.33Deleted

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34Infected with:

Trojan.Downloader.Bagle.HU

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34Deleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0000126.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0000126.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0000127.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0000127.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0000128.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0000128.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0001005.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0001005.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0001007.sysInfected

with: Rootkit.Bagle.F

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0001007.sysDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0001012.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0001012.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0001016.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0001016.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0001017.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0001017.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0001018.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0001018.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002009.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002009.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002011.sysInfected

with: Rootkit.Bagle.F

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002011.sysDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002012.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002012.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002016.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002016.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002017.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002017.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002018.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002018.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002025.exeInfected

with: BehavesLike:Win32.ExplorerHijack

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002025.exeDisinfection

failed

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002025.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002027.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002027.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002028.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002028.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002035.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002035.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002062.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002062.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002064.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002064.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002068.sysInfected

with: Rootkit.Bagle.F

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP1\A0002068.sysDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0002440.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0002440.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0003436.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0003436.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0003438.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0003438.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0003439.sysInfected

with: Rootkit.Bagle.F

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0003439.sysDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0004437.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0004437.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0004440.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0004440.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0004441.sysInfected

with: Rootkit.Bagle.F

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP4\A0004441.sysDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0004525.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0004525.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0005446.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0005446.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0005449.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0005449.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0005478.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0005478.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0005484.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0005484.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0005500.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0005500.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0005506.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0005506.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006499.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006499.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006502.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006502.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006503.sysInfected

with: Rootkit.Bagle.F

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006503.sysDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006525.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006525.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006527.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006527.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006533.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006533.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006538.sysInfected

with: Rootkit.Bagle.F

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006538.sysDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006541.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006541.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006543.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006543.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006552.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006552.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006553.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006553.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006557.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006557.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006563.sysInfected

with: Rootkit.Bagle.F

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006563.sysDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006567.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006567.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006585.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006585.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006591.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0006591.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007575.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007575.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007578.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007578.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007579.sysInfected

with: Rootkit.Bagle.F

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007579.sysDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007580.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007580.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007584.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007584.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007585.exeInfected

with: Win32.Bagle.SUQ@mm

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007585.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007586.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007586.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007593.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007593.exeDeleted

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007594.exeInfected

with: Trojan.Downloader.Bagle.HU

C:\System Volume

Information\_restore{48C0F8AE-7577-407E-B24E-4A367B505C06}\RP6\A0007594.exeDeleted

C:\WINDOWS\system32\HdAShCut.exeInfected with:

Trojan.Downloader.Bagle.HU

C:\WINDOWS\system32\HdAShCut.exeDeleted

Mensaje por **msc hotline sat** » 16 May 2008, 20:16

Pues pruebe el ELIBAGLA:

[quote="para descargar el ELIBAGLA, msc"]

http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos

ms, 16-05-2008

JuanMaGF · Mensaje por **JuanMaGF** » 16 May 2008, 20:42

Gracias de antemano por su atención. Adjunto captura de pantalla de la herramienta EliBagle de fecha 14 de mayo y resultado del análisis realizado en estos momentos. Saludos.

Wed May 14 16:40:54 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Wed May 14 16:41:15 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Wed May 14 16:46:11 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Wed May 14 16:46:23 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Wed May 14 16:46:38 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed May 14 16:49:07 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Wed May 14 19:07:47 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\FLEC006.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

Wed May 14 19:08:29 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 4697

Nº Total de Ficheros: 56770

Nº de Ficheros Analizados: 13886

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Wed May 14 19:50:21 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\FLEC006.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Reinicie para Completar la Limpieza.

Wed May 14 19:50:33 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 4634

Nº Total de Ficheros: 55647

Nº de Ficheros Analizados: 13904

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Wed May 14 19:58:36 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\FLEC006.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Reinicie para Completar la Limpieza.

Wed May 14 19:58:48 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 1977

Nº Total de Ficheros: 28493

Nº de Ficheros Analizados: 3133

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Wed May 14 20:03:52 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\FLEC006.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Reinicie para Completar la Limpieza.

Wed May 14 20:03:55 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 4632

Nº Total de Ficheros: 55637

Nº de Ficheros Analizados: 13894

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Wed May 14 20:21:52 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

Wed May 14 20:21:55 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed May 14 20:23:56 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

Wed May 14 20:24:12 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

Wed May 14 20:24:15 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed May 14 20:24:25 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

Wed May 14 20:24:28 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed May 14 20:28:34 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

Wed May 14 20:28:36 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4654

Nº Total de Ficheros: 55883

Nº de Ficheros Analizados: 14008

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu May 15 19:32:35 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Thu May 15 19:32:43 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Thu May 15 19:32:52 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Thu May 15 20:41:49 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\FLEC006.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

Thu May 15 20:42:09 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu May 15 20:45:22 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\FLEC006.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Reinicie para Completar la Limpieza.

Thu May 15 20:45:26 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4649

Nº Total de Ficheros: 58277

Nº de Ficheros Analizados: 13901

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Fri May 16 15:50:14 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

Fri May 16 15:50:25 2008

EliBagle v11.34 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri May 16 19:24:38 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Fri May 16 19:24:50 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

Fri May 16 19:24:56 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

Fri May 16 19:24:58 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri May 16 19:25:07 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

Fri May 16 19:25:08 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri May 16 19:25:17 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

Fri May 16 19:25:19 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri May 16 19:27:09 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

Fri May 16 19:27:11 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\FLEC006.EXE.MUESTRA ELIBAGLE V11.34 --> Eliminado Bagle.dldr

C:\Muestras\HLDRRR.EXE.MUESTRA ELIBAGLE V11.34 --> Eliminado Bagle.dldr

Nº Total de Directorios: 4689

Nº Total de Ficheros: 58197

Nº de Ficheros Analizados: 13808

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Mensaje por **msc hotline sat** » 16 May 2008, 20:46

Recuerde que cuando le indica tras reiniciar ACCESO DENEGADO a fichero con el Bagle, debe a continuacion apagar el equipo, arrancar en modo segur0 (que ahora ya podrá hacerlo) y lanzar el ELIBAGLA en dicho modo, como indicamos en:

https://foros.zonavirus.com/viewtopic.php?f=5&t=23824

saludos

ms, 16-05-2008

Mensaje por **flacoroo** » 16 May 2008, 21:13

y tambien bajar la actualizacion mas reciente del [url=http://www.zonavirus.com/descargas/elibagla.asp]Descargar Elibagla[/url]....no se le olvide pgarnos el resultado....

JuanMaGF · Mensaje por **JuanMaGF** » 16 May 2008, 23:41

Después del sufrimiento padecido con este virus, me parece increible que el ordenador esté recuperando vida. Adjunto un último análisis de EliBagle y HijackThis, a la espera de sus comentarios. Muchas gracias por todo. Saludos.

Fri May 16 22:01:08 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Fri May 16 22:21:21 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Fri May 16 22:21:25 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4676

Nº Total de Ficheros: 56380

Nº de Ficheros Analizados: 13829

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

-------------------------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:34:10, on 16/05/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Utilidad AntiVirus] C:\Documents and Settings\Propietario\Escritorio\ELIBAGLA.BF%D8EB%D8%D8H.EXE

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198859911984

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3728F4C5-43D9-4B91-8D56-1A1B6D772A20}: NameServer = 194.224.52.36,194.224.52.37

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--

End of file - 9060 bytes

Mensaje por **msc hotline sat** » 17 May 2008, 04:41

Pues solo queda esta clave que puede eliminar:

O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

y si ya se ha librado del bagle y sus efectos, diganos si ya podemos dar el Tema por solucionado o persiste alguna anomalia, gracias

saludos

ms, 17-05-2008

JuanMaGF · Mensaje por **JuanMaGF** » 17 May 2008, 10:02

Hola, buenos días. TEMA SOLUCIONADO. Gracias a Vds. he logrado reinstalar el antivirus PANDA 2008, SPYBOT&SEARCH DESTROY, AD-ADWARE, CCLEANER y otros, realizando análisis con resultados limpios. El ordenador ha vuelto a nacer gracias a su inestimable ayuda. Siempre estaré en deuda. Hay algunos programas de en principio no funcionan, pero una vez reinstalados vuelve a "vivir", por lo tanto secuela solucionable. Los voy probando poco a poco. Saludos.

PD.- La única incidencia que resta, me imagino que generada por el Win32.Bable, es que cada vez que enciendo el ordenador me emergen 2 ventanas tal y como se puede comprobar en la captura de pantalla adjunta. Asimismo en muchas carpetas aparecen archivos o extensiones que nunca habían estado o no se veían, Desktop.ini, Thumbs.db, JPGs y otros. Mezclo su imagen en la captura de pantalla antes citada. Si pueden aportarme alguna solución, mi confianza es total para aceptarla.

Mensaje por **msc hotline sat** » 17 May 2008, 10:07

Debe tratarse de una alteración en el registro.

El Shell32.DLL se lanza normalmente desde una clave de servicios del grupo O23, y quizas se ha duplicado o alterado.

Prueba el SPROCES y posteanos el contenido del SPROCLOG.TXT resultante, a ver si se ve algo mal:

[quote="Para descargar el SPROCES, msc"] SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]

saludos

ms, 17-05-2008

JuanMaGF · Mensaje por **JuanMaGF** » 17 May 2008, 12:09

Adjunto resultados SProcLog.txt. Saludos.

Mensaje por **msc hotline sat** » 17 May 2008, 12:39

Pues eliminando las entradas del spybot (O1 HOSTS 127.0.0.1 ... ) queda:

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.11) 0

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA INTERNET SECURITY 2008\TPSRV.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 2007\AAWSERVICE.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA INTERNET SECURITY 2008\PSCTRLS.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA INTERNET SECURITY 2008\PAVFNSVR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\PANDA SOFTWARE\PAVSHLD\PAVPRSRV.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA INTERNET SECURITY 2008\PAVSRV51.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA INTERNET SECURITY 2008\AVENGINE.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA INTERNET SECURITY 2008\ANTISPAM\PSKMSSVC.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA INTERNET SECURITY 2008\FIREWALL\PSHOST.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA INTERNET SECURITY 2008\PSIMSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA INTERNET SECURITY 2008\APVXDWIN.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\CORE\SMAX4PNP.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAX4.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 8.0\ACROBAT\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_05\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\UNLOCKER\UNLOCKERASSISTANT.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MACROVISION SHARED\FLEXNET PUBLISHER\FNPLICENSINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA INTERNET SECURITY 2008\SRVLOAD.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA INTERNET SECURITY 2008\WEBPROXY.EXE

C:\ARCHIVOS DE PROGRAMA\PANDA SECURITY\PANDA INTERNET SECURITY 2008\PAVBCKPT.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

...

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} - http://codecs.microsoft.com/codecs/i386/fhg.CAB

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/e/4/9/e494c802-dd90-4c6b-a074-469358f075a6/OGAControl.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198859911984

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} (Java Plug-in 1.5.0_08) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3728F4C5-43D9-4B91-8D56-1A1B6D772A20}: NameServer = 194.224.52.36,194.224.52.37

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: AVLDR - AVLDR.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Aspi32 - Adaptec - C:\WINDOWS\SYSTEM32\drivers\aspi32.sys

O23 - Service: Panda CPoint Driver (cpoint) - Panda Software - C:\WINDOWS\SYSTEM32\Drivers\cpoint.sys

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: hardlock - Aladdin Knowledge Systems - C:\WINDOWS\system32\drivers\hardlock.sys

O23 - Service: Haspnt - Aladdin Knowledge Systems - C:\WINDOWS\system32\drivers\Haspnt.sys

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: pavdrv (PAVDRV) - Panda Software International - C:\WINDOWS\SYSTEM32\DRIVERS\pavdrv51.sys

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Driver (PavProc) - Panda Software International - C:\WINDOWS\system32\DRIVERS\PavProc.sys

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: 3xHybrid service (3xHybrid) - Philips Semiconductors GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\3xHybrid.sys

O23 - Service: ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\ADIHdAud.sys

O23 - Service: AEAudio Service (AEAudioService) - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\AEAudio.sys

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Antivirus Filter Driver (AvFlt) - Unknown owner - C:\WINDOWS\system32\drivers\av5flt.sys (file missing)

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: DrmRDriverV32 - Windows (R) 2000/XP - C:\WINDOWS\SYSTEM32\drivers\DrmRDriverV32.sys

O23 - Service: DrmRVideo32 - Windows (R) 2000 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\DrmRVideo32.sys

O23 - Service: Intel(R) PRO/1000 Network Connection Driver (E1000) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e1000325.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Microsoft UAA Function Driver for High Definition Audio Service (HdAudAddService) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\drivers\HdAudio.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Motorola SURFboard USB Cable Modem Windows Driver (ndiscm) - Motorola Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\NetMotCM.sys

O23 - Service: PANDA NDIS IM Filter Miniport v1.5.0.97 (NETIMFLT01050097) - Panda Software - C:\WINDOWS\SYSTEM32\DRIVERS\netimflt.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: PavSRK.sys - Unknown owner - C:\WINDOWS\system32\PavSRK.sys (file missing)

O23 - Service: PavTPK.sys - Unknown owner - C:\WINDOWS\system32\PavTPK.sys (file missing)

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SenFilt Service (SenFiltService) - Sensaura - C:\WINDOWS\SYSTEM32\drivers\Senfilt.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

paso a analizarlo:

Pues las dos unicas claves que lanza SHELL32.dll son:

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

Y al respecto de esta última, vemos:

Registry Keys Infected:

HKEY_CLASSES_ROOT\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Trojan.Downloader) -> No action taken. [GUID={fbeb8a05-beee-4442-804e-409d6c4515e9}]

Registry Values Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\CDBurn (Trojan.Downloader) -> No action taken. [GUID={fbeb8a05-beee-4442-804e-409d6c4515e9}]

Asi pues, con el HJT mira de eliminar esta:

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

y tras reiniciar, nos cuentas el resultado, gracias

saludos

ms, 17-05-2008

JuanMaGF · Mensaje por **JuanMaGF** » 17 May 2008, 14:30

Salvo que esté realizando alguna acción de manera errónea, yo no localizo ninguna clave con numeración O21. Adjunto log. Saludos.

------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:24:37, on 17/05/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\ATnotes\ATnotes.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AVENGINE.EXE

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\WebProxy.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\avciman.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\psimreal.exe

C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavBckPT.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Security\Panda Internet Security 2008\Inicio.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ATnotes.exe] C:\Archivos de programa\ATnotes\ATnotes.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O8 - Extra context menu item: Anexar a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir vínculos seleccionados a Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198859911984

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3728F4C5-43D9-4B91-8D56-1A1B6D772A20}: NameServer = 194.224.52.36,194.224.52.37

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda internet security 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\PsImSvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Internet Security 2008\TPSrv.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--

End of file - 12114 bytes

JuanMaGF · Mensaje por **JuanMaGF** » 17 May 2008, 17:40

PROBLEMA SOLUCIONADO. Por lo visto existía una combinación de errores que tenían que ver con la no visualización de la opción ARCHIVOS Y CARPETAS OCULTAS (Mi PC - Herramientas - Opciones de carpeta - Ver) -ya está arreglado-, ocultar archivos protegidos del sistema, restaurar valores, aplicar a carpetas y dos accesos directos? Desktop ubicados en INICIO. Sea como sea, que no soy experto en el tema, las ventanas emergentes que salían nada mas iniciar el ordenador y los archivos Desktop, AlbumArt, Thumbs, Folder, etc. ya no aparecen, y el PC funciona con aparente normalidad. Por mi parte ya no molesto mas y cierro la incidencia. Muy agradecido por todo. Un saludo.

Mensaje por **lucl** » 17 May 2008, 17:58

No molestas para nada, y como que ya esta solucionado cerramos el tema. Vuelve cuando quieras, saludos

PC infectado por Virus W32.Bagle & Variantes (SOLUCIONADO)

PC infectado por Virus W32.Bagle & Variantes (SOLUCIONADO)

Re: PC infectado por Virus W32.Bagle & Variantes

Virus W32.Bagle & Variantes | Análisis EliBagle

Re: PC infectado por Virus W32.Bagle & Variantes

Re: PC infectado por Virus W32.Bagle & Variantes

PC infectado por Virus W32.Bagle & Variantes

Re: PC infectado por Virus W32.Bagle & Variantes

Virus W32.Bagle & Variantes = INCIDENCIA SOLUCIONADA

Re: PC infectado por Virus W32.Bagle & Variantes

SProcLog.txt

Re: PC infectado por Virus W32.Bagle & Variantes

Ventanas Shell32 emergentes | Deskotp.ini - Thumbs.db - Etc

TEMA SOLUCIONADO - Ventanas Shell32 emergentes y otr@s

Re: PC infectado por Virus W32.Bagle & Variantes