Problema virus (propagación pendrive, bloqueo herramientas)

[oierarias]

Buenas:



Un Virus/Malware/Loquesea me ha infectado mi PC. Lo cierto es que en temas de virus y tal no entiendo mucho, y por ello acudo a vosotros para intentar encontrar una solución. De momento, ésto es lo que se/me pasa, con respecto al virus;



De los PC's de clase, había uno al cual el Panda Antivirus detectaba un virus, pero como yo no lo usaba (ese PC), no le prestamos demasiada atención a qué tipo de virus era ni qué problemas provocaba.

El caso es que ayer por la mañana me tocó realizar un informe en dicho PC, y metí el pendrive USB para guardar el informe. Al llegar a casa, cual es mi sorpresa al ver, cuando conecto el pendrive (y al de un rato que tardé en darme cuenta), que multitud de herramientas del sistema me han desaparecido. Aquí os enumero todas (de las que me he dado cuenta hasta ahora):



-->Panel de tareas deshabilitado por administrador

-->Cuenta de usuario nueva y extraña creada (ya la he borrado, por si acaso)

-->No deja abrir antivirus (AVG Free edition actualizado)

-->No deja abrir Spybot

-->Desaparece "Inicio - Ejecutar"

-->Desaparecen funciones de los botones del explorador de Windows, como por ejemplo "Herramientas - Opciones de carpeta"

-->Deshabilitada la opción de "Restaurar sistema"

-->Imposibilidad de arrancar Windows en modo a prueba de fallos (pantalla azul cuando está cargando el sistema)



Y así, que recuerde, nada más. Por lo demás el equipo, al menos de momento, funciona bien; me deja navegar por internet con libertad, no me ha borrado ningún archivo...

Pero vamos, que necesito eliminar este virus, y no se cómo...



De momento estoy analizando el PC con Panda ActiveScan, pero no se si encontrará algo o no...



Alguna ayudita??



Saludos!

[msc hotline sat]

Sí, varias cosas:

Son muchos los malwares que se propagan a traves de los pendrives. Para evitarlo hicimos el ELIPEN, para vacunar ordenador y pendrives de manera que no propaguen mas virus de este tipo, conocidos o desconocidos:

vacune todas sus unidades de disco y pendrive con el ELIPEN:

ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


Aparte de ello, y para saber el virus que le infectó y obrar en consecuencia, lance este AV ONLINE y posteenos el informe resultante:

Kaspersky Security Scan

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.


(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)


Posiblemente con el ELISTARA o ya lo conocemos o implementaremos en dicha utilidad la solucion, pero tiemnpo al tiempo...

saludos

ms, 10-10-2008

[oierarias]

WOW! Gracias por la rápida respuesta ;)



Por partes;

Primero, acabo de probar, como me has recomendado, a usar el ELIPEN con mi Pendrive, y con ésto he encontrado otra limitación que implanta éste virus; el símbolo de sístema ha sido deshabilitado por el administrador.

De todas maneras, parece que ELIPEN ha funcionado pese a todo, ya que ahora pone "Unidad protegida". Aqui teneis el infosat;



Fri Oct 10 17:25:25 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado J:\Autorun.inf

OPEN=RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2550\SHELLAXX.EXE

J:\Autorun.inf -> Renombrado a .OLD

Unidad J:\ Protegida



Unidad J:\ YA esta Protegida



Por otro lado, respecto al resto de sugerencias, las realizaré, pero de momento tendrá que esperar el analisis del karspersky, ya que ahora mismo estoy pasando el Panda ActiveScan, y me ha detectado 2 viruses. Está ahora mismo al 20%; en cuanto termine éste, si no he solucionado el problema, me pondré con tu sugerencia y volveré a comentaros lo que me vaya saliendo ;)



Y repito, muchisimas gracias por la pronta respuesta!!



Saludos!

[msc hotline sat]

Gracias al informe posteado ya te adelanto uno de los malwares que tienes: SHELLAXX.EXE

Fijate que lo lanzaba el AUTORUN.INF cada vez que introducias el pendrive en un ordenador:

OPEN=RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2550\SHELLAXX.EXE

Ya puedes renombrar la extension de este fichero a .VIR para que no se pueda ejecutar, y enviarnos tanto este fichero como el AUTORUN (que ahora se llama AUTORUN.OLD para que no se autoejecute)

¿Como enviar las muestras a zonavirus? - Para ello recordar:

viewtopic.php?f=5&t=14253

saludos

ms, 10-10-2008

[oierarias]

Gracias al informe posteado ya te adelanto uno de los malwares que tienes: SHELLAXX.EXE

Fijate que lo lanzaba el AUTORUN.INF cada vez que introducias el pendrive en un ordenador:

OPEN=RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2550\SHELLAXX.EXE

Ya puedes renombrar la extension de este fichero a .VIR para que no se pueda ejecutar, y enviarnos tanto este fichero como el AUTORUN (que ahora se llama AUTORUN.OLD para que no se autoejecute)

¿Como enviar las muestras a zonavirus? - Para ello recordar:

viewtopic.php?f=5&t=14253

saludos

ms, 10-10-2008

Buenas de nuevo:

Bueno, pues estoy de acuerdo en eso de emviaros los archivos y tal, pero tengo una duda;

En mi pendrive ahora dices que debería haber quedado el archivo Sheelax.exe, y debería renombrarlo a .VIR para que no se pueda ejecutar. El caso es que yo en mi pendrive no veo ese archivo. Me explico;
Yo en mi pendrive ahora mismo solo veo;
Mis archivos normales (documentos mios y demás)
Un archivo autorun.inf.old
Una carpeta autorun.inf, dentro de la cual hay un archivo tes2.sat

Qué es lo que debo enviaros??

Saludos!

[oierarias]

Buenas de nuevo:



Ahora mismo me dispongo a empezar el analisis de karspersky que me has indicado por ahi arriba. Deciros que sigo sin saber qué archivo tengo que enviaros exactamente, de entre los que tengo en el pendrive después de haber pasado el Elipen.



Por lo demás, deciros que el Panda ActiveScan que estaba analizando mi PC hasta ahora, me ha detectado que tengo infecciones, pero al igual que el karspersky, no las elimina. Os subo el informe del analisis, por si sirve de ayuda. Aqui esta;



;***********************************************************************************************************************************************************************************

ANALYSIS: 2008-10-10 18:24:19

PROTECTIONS: 0

MALWARE: 10

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00055560 Exploit/LoadImage HackTools No 0 Yes No C:\Archivos de programa\Codemasters\GRID\audio\speech\it\Names_Player\man\Man_WD_N_42.raw

00055560 Exploit/LoadImage HackTools No 0 Yes No C:\Archivos de programa\Codemasters\GRID\audio\speech\en\08_accidents\team9Term_2.raw

00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@tribalfusion[2].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@xiti[1].txt

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@ad.yieldmanager[2].txt

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@serving-sys[2].txt

00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@bs.serving-sys[1].txt

00169189 Cookie/Adserver TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@adserver.terra[2].txt

00170495 Cookie/PointRoll TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@ads.pointroll[2].txt

00173987 Cookie/Itrack TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@ilead.itrack[1].txt

01606636 Cookie/Adserver TrackingCookie No 0 Yes No C:\Documents and Settings\Administrador\Cookies\administrador@adserver.easyad[1].txt

;===================================================================================================================================================================================

SUSPECTS

Sent Location 2

;===================================================================================================================================================================================

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description 2

;===================================================================================================================================================================================

184380 MEDIUM MS08-002 2

184379 MEDIUM MS08-001 2

182048 HIGH MS07-069 2

182046 HIGH MS07-067 2

182043 HIGH MS07-064 2

179553 HIGH MS07-061 2

176382 HIGH MS07-057 2

176383 HIGH MS07-058 2

170907 HIGH MS07-046 2

170906 HIGH MS07-045 2

170904 HIGH MS07-043 2

157260 HIGH MS07-020 2

;===================================================================================================================================================================================



Saludos!

[msc hotline sat]

Lo detectado por el Panda solo son Cookies, posiblemente el bicho gordo aun no lo conoce.

y asi vamos a buscar este \RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2550\SHELLAXX.EXE

Estará oculto y por esto no lo ves, pero prueba a ver si el ELISTARA lo mueve a C:\muestras\ y asi nos lo puedes enviar:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Sino con el XCOPY /H podrias copiar incluso el oculto, desde una ventana al DOS:

xcopy /h \RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2550\SHELLAXX.EXE c:\muestras\ <enter>

si no lo lograra el ELISTARA, prueba manualmente conforme indicado

Y una vez en c:\muestras, ya sabes...

saludos

ms, 10-10-2008

[oierarias]

Y buenas otra vez:



Después de terminar con el analisis del kaspersky, aquí os traigo el info file de dicho analisis; a recalcar que, ésta vez si, creo que me ha detectado los 2 principales problemas que tengo en mi PC, y que son los que provocan los problemas que tengo actualmente;

Por un lado, el archivo spoolsi.exe, y por el otro el antes mencionado sheelax.exe



Aqui teneis la información del analisis, y en cuanto termine de pasar el Elistara, veré si puedo pasaros a través de "Envio de muestras" el archivo de mi pendrive "Sheelaxx".



viernes, 10 de octubre de 2008 21:13:58

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 10/10/2008

Registros en la base antivirus: 1165467

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

Estadísticas

Número de objeros analizados 84913

Virus encontrados 1

Objetos infectados 2 / 0

Objetos sospechosos 0

Duración del análisis 01:36:14



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\CardSpace\CardSpace.db Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\CardSpace\CardSpace.db.shadow Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist012008101020081011\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avglng.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgrs.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{04CF7289-27DD-4A7C-BEAF-BBD3E040F058}\RP152\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{2572E1F1-1BEA-407E-950F-7B31BB551354}.bin Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edbtmp.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\spoolsi.exe Infectados: Trojan.Win32.Agent.agfu saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\WINDOWS\{00000001-00000000-00000007-00001102-00000004-005A1102}.CDF Object is locked saltado

J:\RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2550\shellaxx.exe Infectados: Trojan.Win32.Agent.agfu saltado

Análisis completado.



Saludos!

[msc hotline sat]

Pues renombra la extension de este fichero a .VIR

C:\WINDOWS\system32\spoolsi.exe Infectados: Trojan.Win32.Agent.agfu saltado

y envianoslo para analizar:


¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

A continuacion vacía la papelera, donde tienes otro congenere del mismo virus y tras ello reinicia.

saludos

ms, 10-10-2008

[oierarias]

Pues renombra la extension de este fichero a .VIR

C:\WINDOWS\system32\spoolsi.exe Infectados: Trojan.Win32.Agent.agfu saltado

y envianoslo para analizar:


¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

A continuacion vacía la papelera, donde tienes otro congenere del mismo virus y tras ello reinicia.

saludos

ms, 10-10-2008

Buenas:
El problema está en que ese archivo, cuando entro en System32, no está...
Ni tampoco como archivo oculto...

Lo más que se le parecen son; "Spoolss.dll" y otro que es "spoolsv.exe"

Saludos!

PD.-Acaba de terminar su trabajo el elistara, y el resultado es este;

Fri Oct 10 21:18:55 2008
EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\Muestras, ni nada parecido, por lo que no se dónde pueden haber terminado mis archivos infectados...

Qué he de hacer ahora??

Saludos!
C:\WINDOWS\SETDEBUG.EXE --> Eliminado, HackTool-SRunner

Nº Total de Directorios: 10110
Nº Total de Ficheros: 75307
Nº de Ficheros Analizados: 12073
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

No me ha creado ninguna carpeta "C:\

[oierarias]

Buenas de nuevo;



Bueno, pues asunto resuelto!!!



He estado investigando éste virus por internet, mirando si habia alguien que tuviera el mismo problema que yo. Así me he enterado de la manera de solucionar el problema de éste virus;



Hay que usar el programa DRWEB, que analiza el PC en busca de virus. Analizamos el PC, y ya con el analisis inicial (analisis express), el programa detectará el archivo spoolsi.exe como virus.

Nos preguntará si queremos curar, le diremos que no, ya que si le decimos que si, al menos en mi caso, nos dará pantallazo azul el PC y tocará reiniciar.



El analisis seguirá su curso, terminará, y una vez hecho eso, podremos seleccionar el archivo spoolsi.exe, y en vez de darle a curar, clickaremos sobre "Mover"



Cerramos DRWEB, reiniciamos el PC, y el virus, al fin, habrá desaparecido. Lo malo es que quedarán todas las funciones desabilitadas, pero al menos podremos ir activandolas 1 a 1.

En mi caso he optado por, como "restaurar sistema" a vuelto a funcionar, he hecho una restauración al día antes de que entrara el virus en mi PC...y todo solucionado!!



Saludos! y muchas gracias por los consejos que me habeis dado en éste post. Sin ellos no habría llegado a eliminar el virus!



Y por cierto, a quien lea éstos mensajes y tenga el mismo problema con éste virus, recomiendo que, antes de desinfectar el PC, useis el programa "Elipen" que me han recomendado en éste mismo post para, primero, desinfectar el pendrive.

Y luego ya pasais a desinfectar el PC con el DRWEB ;)

[lucl]

Pues daremos el tema por solucionado pero como no conozco el programa que indicas dejare que sea Msc quien lo cierre para que de su opinion, saludos

[msc hotline sat]

Pues tal como lo ha hecho, ha movido este fichero a una carpeta de cuarentena, asi que ahora nos lo puede enviar como muestra para analizar, siguiendo las indicaciones:

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

Asi podremos monitorizarlo e implementar su control, eliminacion y restauracion de claves en nuestras utilidades, como hacemos con todas las muestras recibidas.

El que no lo encontrara simplemente pudo ser porque ademas de atributo H (Hidden=Oculto), debía tener atributo S (System=sistema), que tampoco son visibles, y debe obrarse en tal caso como indicamos en:

viewtopic.php?f=5&t=13245

Pero estar, estaba ya que lo detectaron los antivirus y ademas hasta lo han podido mover !

saludos

ms, 11-10-2008

[oierarias]

Ya os he enviado, espero que correctamente y el archivo correcto, como muestra de lo que DRWEB movió a la carpeta de cuarentena ;)



Saludos!

[lucl]

El lunes te diran algo al respecto al envio estate atento al post, saludos

[msc hotline sat]

Sí, y no estará de mas que lances la utilidad que lo controle, para corregir las claves que hubiera podido modificar y que Dr Web no restauró.



Aparte nos hemos olvidado del Shellaxx.exe !!!



Detectado J:\Autorun.inf

OPEN=RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2550\SHELLAXX.EXE

J:\Autorun.inf -> Renombrado a .OLD



y que encontró el ELIPEN al vacuna el pendrive que lo contenía, y tambien el ONLINE, :J:\RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2550\shellaxx.exe Infectados: Trojan.Win32.Agent.agfu saltado



Mira si haciendo lo que indicabamos lo puedes mover a cuarentena, desde una ventana al DOS y poniendo el pendrive en el mismo posrt ISB que lo pusiste (J:):



xcopy /h J:\RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2550\SHELLAXX.EXE c:\muestras\ <enter>



y si es asi, nos envias el AUTORUN.OLD de dicha unidad J: y el dichoso fichero SHELLAXX.EXE de la carpeta C:\muestras\



saludos



ms, 11-10-2008