Ver la Versión Completa : Email-Worm.Win32.Bagle.of y Trojan.Win32.Pakes.bwy (Solucionado)
Hola muy buenas!!De hace un tiempo a aqui noto el pc raro,ventanas emergentes,mas lento,no puedo abrir el norton,me da error de que no es aplicacion valida para win.32,lo tengo desinstalado y no puedo volver a instalarlo.Suelo usar el panda active scanpro y el me empezo a detectar spyware y demas,pero igual.He seguido los 11 pasos fundamentales para eliminar spyware a rajatabla,menos el Spy Bot S&D que no me deja ejecutarlo,si lo intento se reinicia solo,antes tampoco podia arrancar en modo seguro pero con algo que encontre por aqui para el registro ahora si,ni el Ccleaner podia ejecutar antes y ahora si pero el S&D nada.
Bueno antes de hacer nada con el HijackThis queria que vierais el ultimo informe del Kasperky y si no es molestia comentarme los pasos a seguir.
Muchas gracias de antemano,un saludo.-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
jueves, 24 de enero de 2008 4:20:21
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 23/01/2008
Registros en la base antivirus: 493949
-------------------------------------------------------------------------------
Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero
Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
Estadísticas:
Número de objeros analizados: 41110
Virus encontrados: 2
Objetos infectados: 35 / 0
Objetos sospechosos: 0
Duración del análisis: 00:23:32
Bombre del objeto infectado / Nombre del virus / Última acción
C:\Documents and Settings\Alberto\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Historial\History.IE5\MSHist0120080124200801 25\index.dat Object is locked saltado
C:\Documents and Settings\Alberto\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Alberto\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Alberto\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\down\104578.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\112171.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\125093.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\126812.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\133265.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\140671.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\14557750.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\14576406.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\14583562.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\14589109.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\35000062.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\35024468.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\35158640.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\37250.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\41609.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\42812.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\50406.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\52093.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\52921.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\53750.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\59250.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\63250.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\66468.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\66796.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\68031.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\70187.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\77000.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\78531.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\79765.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\80625.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\81718.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\86875.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\89984.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\down\96406.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\mdelk.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
Análisis completado.
Descarga el SUPERantispyware (http://www.infospyware.com/Anti-Spywares.htm) y realiza un escaneo profundo de tu equipo eliminando lo que encuentre.
luego realiza lo siguiente:
Descarga la herramienta ComboFix (http://www.forospyware.com/sUBs/ComboFix.exe).
Has doble click en el archivo combofix.exe y sigue los avisos, es IMPORTANTE que para que trabaje correctamente no utilices ninguna otra aplicacion mientras él analiza.
Cuando termine este generara un reporte el cual debes pegar aqui.
Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.
nos dejas el reporte del CF.
Hola! Antes de nada agradecerte tu respuesta y tu ayuda.
Bueno, he seguido tus pasos,he actualizado el super antispyware,ya lo tenia, y se lo he pasado sin encontrar nada, lo cual me ha sorprendido.Luego me he descargado el combofix del enlace que me has dado y si lo guardo en una carpeta y luego lo ejecuto me da error y me dice que la carpeta no responde,si lo ejecuto directamente de la descarga me sale una ventana negra un instante y luego nada, como si no hubiera hecho nada....no pinta bien,no??
Un saludo.
inicia la pc en modo seguro con funciones a red (http://www.forospyware.com/292284-post4.html) e intenta ejecutarlo en ese modo..
Hola de nuevo! Lo he intentado como me has dicho y no me deja, me dice que no es una aplicacion Win32 valida....
es bastante raro que no puedas ejecutar el CF ::pensar::
realiza lo siguiente:
Descarga el SilentRunner (http://www.silentrunners.org/Silent%20Runners.vbs) (dale click con el boton derecho del ratón al enlace y luego en Guardar enlace cómo, Save as o Save Link as....)
Ejecuta el script, al hacerlo, te hará unas preguntas, en dichas preguntas contesta 'No' y 'Si' (en ese orden).
Luego, deberás esperar (aunque parezca que no hace nada) a que te aparezca un mensaje con el botón OK
En la misma carpeta que ejecutes el script aparecerá un archivo llamado Reporte el cual deberás colocarlo aquí (si lo abres o envías antes de ver el mensaje con el botón Ok, no estará completo)
Ten un poquito de paciencia hasta que termine el proceso.
Aqui estoy de nuevo,he seguido tus indicaciones como me has dicho y aqui esta el reporte:
"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \ {++}
"MsnMsgr" = ""C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"(Default)" = (empty string) [file not found]
"Pando" = ""C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized" ["Pando Networks"]
"SUPERAntiSpyware" = "C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" ["SUPERAntiSpyware.com"]
"SpybotSD TeaTimer" = "C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ {++}
"SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."]
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [MS]
"Adobe Reader Speed Launcher" = ""C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"QuickTime Task" = ""C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Archivos de programa\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Aplicación auxiliar de vínculos de Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\ARCHIV~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extensión de paneo de pantalla del Panel de control"
-> {HKLM...CLSID} = "Extensión de paneo de pantalla del Panel de control"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extensión de icono de HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\ARCHIV~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Extensión de iconos de archivo de Outlook"
\InProcServer32\(Default) = "C:\ARCHIV~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Archivos de programa\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Mis carpetas para compartir"
\InProcServer32\(Default) = "C:\Archivos de programa\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Archivos de programa\WinRAR\rarext.dll" [null data]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\ARCHIV~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\ARCHIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\ARCHIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\ARCHIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\ARCHIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.11 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu Extension"
\InProcServer32\(Default) = "C:\Archivos de programa\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.11 DragDrop Shell Extension"
-> {HKLM...CLSID} = "WinAceDrag-Drop Extension"
\InProcServer32\(Default) = "C:\Archivos de programa\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.11 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "C:\Archivos de programa\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.11 Property Sheet Shell Extension"
-> {HKLM...CLSID} = "WinAceProperty Sheet Extension"
\InProcServer32\(Default) = "C:\Archivos de programa\WinAce\arcext.dll" ["e-merge GmbH"]
"{0561EC90-CE54-4f0c-9C55-E226110A740C}" = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Archivos de programa\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
"{5574006C-28F5-4a65-A28C-74DE6BFBE0BB}" = "Haali Matroska Shell Property Page"
-> {HKLM...CLSID} = "Haali Matroska Shell Property Page"
\InProcServer32\(Default) = "C:\Archivos de programa\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
"{327669A0-59A7-4be9-B99E-1C9F3A57611A}" = "Haali Matroska Thumbnail Extractor"
-> {HKLM...CLSID} = "Haali Matroska Thumbnail Extractor"
\InProcServer32\(Default) = "C:\Archivos de programa\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Archivos de programa\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks\
<<!>> "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}" = (no title provided)
-> {HKLM...CLSID} = "SABShellExecuteHook Class"
\InProcServer32\(Default) = "C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" ["SuperAdBlocker.com"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> !SASWinLogon\DLLName = "C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll" ["SUPERAntiSpyware.com"]
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandler s\
{0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Archivos de programa\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandler s\
PandoShellExt\(Default) = "{9C150845-2A2D-44CC-90B3-AA03480AA3D2}"
-> {HKLM...CLSID} = "PDShellExt Class"
\InProcServer32\(Default) = "C:\Archivos de programa\Pando Networks\Pando\PandoShellExt.dll" ["Pando Networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Archivos de programa\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\ARCHIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "C:\Archivos de programa\WinAce\arcext.dll" ["e-merge GmbH"]
HKLM\SOFTWARE\Classes\Directory\shellex\ContextMen uHandlers\
PandoShellExt\(Default) = "{9C150845-2A2D-44CC-90B3-AA03480AA3D2}"
-> {HKLM...CLSID} = "PDShellExt Class"
\InProcServer32\(Default) = "C:\Archivos de programa\Pando Networks\Pando\PandoShellExt.dll" ["Pando Networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Archivos de programa\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\ARCHIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "C:\Archivos de programa\WinAce\arcext.dll" ["e-merge GmbH"]
HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHa ndlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Archivos de programa\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\ARCHIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------
Note: detected settings may not have any effect.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System\
"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}
"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}
"EnableLUA" = (REG_DWORD) dword:0x00000000
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Run All Administrators In Admin Approval Mode}
Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellState
Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Configura ción local\Datos de programa\Microsoft\Wallpaper1.bmp"
Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Wallpaper1.bmp"
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssstars.scr" [MS]
Startup items in "Alberto" & "All Users" startup folders:
---------------------------------------------------------
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
"WinZip Quick Pick" -> shortcut to: "C:\Archivos de programa\WinZip\WZQKPICK.EXE" ["WinZip Computing, Inc."]
Enabled Scheduled Tasks:
------------------------
"AppleSoftwareUpdate" -> launches: "C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Pa rameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Pa rameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Explorer Bars
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Referencia"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Referencia"
{D9288080-1BAA-4BC4-9CF8-A92D743DB949}\
"ButtonText" = "Run IMVU"
"Exec" = "C:\Documents and Settings\Alberto\Menú Inicio\Programas\IMVU\Run IMVU.lnk" [file not found]
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\ARCHIV~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Archivos de programa\Messenger\msmsgs.exe" [MS]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Apple Mobile Device, Apple Mobile Device, ""C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data]
Servicio del iPod, iPod Service, ""C:\Archivos de programa\iPod\bin\iPodService.exe"" ["Apple Inc."]
Servicio Lector del diario USN de Carpetas para compartir de Messenger, usnjsvc, ""C:\Archivos de programa\MSN Messenger\usnsvc.exe"" [MS]
StarWind iSCSI Service, StarWindService, "C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"]
Print Monitors:
---------------
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monito rs\
CNAB4 Monitor\Driver = "CNAB4LMK.DLL" ["CANON INC."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
---------- (launch time: 2008-01-26 03:03:26)
<<!>>: Suspicious data at a malware launch point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 40 seconds.
---------- (total run time: 98 seconds)
Me acabo de dar cuenta de un detalle,no se si sera importante...en la carpeta donde descargue y esta el combofix,pues el icono de combofix.exe que es redondo, parpadea y se pone como una ventana cuadrada y esta asi todo el rato,pues resulta que en las dos carpetas que tenia del norton(cuando lo tenia, ahora no puedo instalarlo)todos los archivos ejecutables tambien me hacian lo mismo...no se, lo digo desde mi completa ignorancia,igual no es nada :risa::risa:.
Un saludo.
Angel Doze 25/01/08, 23:11:22 Hola...
Compermiso , Solo pretendo aportar !....;)
Ultimamente he estado tratando muchos casos con el Malware Bagle y creo tner bien identificados cuales son los archivos :rolleyes:
*Descarga The Avenger (http://swandog46.geekstogo.com/avenger.zip) y lo guarads en el escritorio.
Reinicia en modo seguro. (http://www.forospyware.com/292284-post4.html)
Dale doble click a avenger.exe del escritorio para ejecutarlo.
Debajo "Script file to execute" elige "Input Script Manually".
Haz clic en el icono de la lupa. Se abrirá una nueva ventana con el nombre "View/edit script".
Copia el texto que se encuentra en el cuadrado más abajo en la ventana que se abrio.
Files to delete:
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
Folders to delete:
C:\WINDOWS\system32\drivers\down
Pulsa sobre "Done" y haz clic sobre la luz verde del semáforo.
Haz clic en "Yes" o "Sí" cuando te pregunte las dos veces.
El ordenador se reiniciará, se abrirá y cerrará una ventanita de ejecución del comando. Esto es normal.
*Después de reiniciar, se creará un archivo log.txt ubicado en C:\avenger.txt , ese tal reporte lo pegas aquí.
Tambien...
Descargar ELIBAGLA 10.47 (http://www.zonavirus.com/datos/descargas/95/elibagla.asp) (en la parte de abajo de la página web)
Guardalo en el escritorio de windows
Ejecutalo, espera a que termine el scan.
Cuando termines, reinicia el pc .
Busca el archivo infoSat.txt (q se situa en Mi PC > C:\ )
El contenido del reporte lo pegas aqui mismo.
Salu2!
Me cuentas "
Hola...
Compermiso , Solo pretendo aportar !....;)
:biggrin::biggrin:
no te preocupes es todo tuyo :biggrin: :Bien: ;)
Hola!! Acabo de arrancar el pc y veo vuestras respuestas,muchas gracias por vuestro tiempo,me pongo con ello ahora mismo y os mando los reportes.
Muchas gracias!!
Bueno, aqui esta el reporte de the avenger:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\hhnnayfm
*******************
Script file located at: \??\C:\WINDOWS\hjsbmgff.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\mdelk.exe deleted successfully.
File C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE not found!
Deletion of file C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE failed!
Could not process line:
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
Status: 0xc0000034
File C:\WINDOWS\SYSTEM32\WINTEMS.EXE not found!
Deletion of file C:\WINDOWS\SYSTEM32\WINTEMS.EXE failed!
Could not process line:
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
Status: 0xc0000034
File C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS deleted successfully.
Folder C:\WINDOWS\system32\drivers\down deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Ahora mismo me pongo con elibagla y os cuento......
Bueno, ya esta hecho,parece que esta limpio,no? Me lo podeis confirmar por favor? Me pongo a instalar el norton ya o compruebo de alguna manera la limpieza? Otra cosa tenia desactivado restaurar sistema,lo activo ya?
Muchas gracias.Un saludo.
Lo siento...se me habia olvidado poner el reporte de elibagla :risa::risa::risa::risa:.Aqui esta:
Sat Jan 26 14:38:59 2008
EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Sat Jan 26 14:39:41 2008
EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 5560
Nº Total de Ficheros: 39137
Nº de Ficheros Analizados: 8915
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Sat Jan 26 14:42:13 2008
EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 5560
Nº Total de Ficheros: 39137
Nº de Ficheros Analizados: 8915
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Angel Doze 26/01/08, 16:16:35 Hola
El problema parece estar bien , ya que el elibagle , no encontro nada , asi que solo resta que tu comentes , si ya puedes instalar los programas ?
En caso de que persistan problemas realiza lo siguiente :
(Pero ojo solo si sigues con problemas )
Descarga Sophos Anti-Rootkit (http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html), y guárdelo en el escritorio.
Haga doble clic en sarsfx.exe para extraer los archivos y dejar la configuración por defecto.
Abra la carpeta C: \ SOPHTEMP y haga doble clic en sargui.exe para iniciar el programa.
Asegúrese de que se comprueban los siguientes:
Ejecución de los procesos
Registro de Windows
Local de los discos duros
Haz clic en "Start Scan".
Haga clic en el botón "OK" después de que reciba la notificación de que ha terminado la búsqueda .
Si en la busqueda Shopos Encontro alguna infeccion , dale sobre "Clean Up Checked Items".
Ahora ve a inicio / Ejecutar / Escribe o copia lo siguiente : %Temp% , cuando se haya abierto la carpeta Temp , busca el block de Notas con el Nombre de "SARSCAN"
Copias y pegas aqui el contenido de ese Block de Notas .
Salu2!
Nos comentas !
Hola buenas.
Si que he instalado el norton y el Spybot S&D y tambien se han vuelto a activar las actualizaciones automaticas de windows que no lo estaban pero le pase luego el kaspersky y me salio esto:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
sábado, 26 de enero de 2008 18:33:49
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 26/01/2008
Registros en la base antivirus: 498231
-------------------------------------------------------------------------------
Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero
Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
Estadísticas:
Número de objeros analizados: 40234
Virus encontrados: 3
Objetos infectados: 51 / 0
Objetos sospechosos: 0
Duración del análisis: 00:29:45
Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2008-01-26.16-57-44.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EPERSIST.DAT Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\NFWEVT.LOG Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDALRT.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDCON.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDDBG.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDFW.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDIDS.log Object is locked saltado
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSYS.log Object is locked saltado
C:\Archivos de programa\Norton AntiVirus\AVApp.log Object is locked saltado
C:\Archivos de programa\Norton AntiVirus\AVError.log Object is locked saltado
C:\Archivos de programa\Norton AntiVirus\AVVirus.log Object is locked saltado
C:\avenger\backup.zip/avenger/down/104578.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/112171.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\avenger\backup.zip/avenger/down/117515.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/125093.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/126812.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/133265.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\avenger\backup.zip/avenger/down/136906.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/140671.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/14557750.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/14571359.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/14576406.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/14583562.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/14585890.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/14589109.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/35000062.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/35024468.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\avenger\backup.zip/avenger/down/35104046.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/35158640.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/37250.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/41609.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/42812.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/50406.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/51125.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/51812.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/52093.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/52921.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/53750.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/59250.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/61890.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/63250.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/63453.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/63562.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/66328.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/66468.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/66796.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/68031.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/70187.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/73859.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/77000.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/78531.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\avenger\backup.zip/avenger/down/79765.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/80625.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/81718.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/83890.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/86875.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/89984.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/90906.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/down/96406.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip/avenger/down/97296.exe Infectados: Trojan-PSW.Win32.Agent.xd saltado
C:\avenger\backup.zip/avenger/mdelk.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\avenger\backup.zip ZIP: infectado - 50 saltado
C:\Documents and Settings\Alberto\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Messenger\albertovallejolu@hotm ail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Messenger\albertovallejolu@hotm ail.com\SharingMetadata\pending.dat Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Messenger\albertovallejolu@hotm ail.com\SharingMetadata\Working\database_C864_39C8 _6439_B9D0\dfsr.db Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Messenger\albertovallejolu@hotm ail.com\SharingMetadata\Working\database_C864_39C8 _6439_B9D0\fsr.log Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Messenger\albertovallejolu@hotm ail.com\SharingMetadata\Working\database_C864_39C8 _6439_B9D0\fsrtmp.log Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Messenger\albertovallejolu@hotm ail.com\SharingMetadata\Working\database_C864_39C8 _6439_B9D0\tmp.edb Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\albertovallejolu@hotmail.com\real\members .stg Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Historial\History.IE5\MSHist0120080126200801 27\index.dat Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Temp\~DF96F1.tmp Object is locked saltado
C:\Documents and Settings\Alberto\Configuración local\Temp\~DF9723.tmp Object is locked saltado
C:\Documents and Settings\Alberto\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Alberto\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SUP ERANTISPYWARE.LOG Object is locked saltado
C:\Documents and Settings\Alberto\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Alberto\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\settings.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\LiveUpdate\2008-01-26_Log.ALUSchedulerSvc.LiveUpdate Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\Shared\QBackup\index.qbs Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\BBConfig.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\BBDebug.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\BBDetect.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\BBNotify.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\BBRefr.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\BBSetCfg.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\BBSetCfg2.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\BBSetDev.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\BBSetLoc.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\BBSetUsr.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\BBStHash.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\BBValid.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\SPPolicy.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\SPStart.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SPBBC\SPStop.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SRTSP\SrtErEvt.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SRTSP\SrtETmp\45754362.TMP Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SRTSP\SrtETmp\FC2E9FDA.TMP Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SRTSP\SrtMoEvt.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SRTSP\SrtNvEvt.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SRTSP\SrtScEvt.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SRTSP\SrtTxFEvt.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SRTSP\SrtViEvt.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Symantec\SubEng\submissions.idx Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{222663 28-E020-4E7B-98F6-C701D99687AB}.bin Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
Análisis completado.
Es solo que aparece la copia de the avenger o deberia hacer algo?,de momento he borrado C:\avenger\backup.zip y le he pasado el kaspersky otra vez sin detectar nada,he hecho lo correcto...?
Angel Doze 26/01/08, 19:48:06 Hola.
Si has echo bien , ya que los archivos que mostraba Kaspersky estaban en el zip que crea el The Avenger , entonces ya podemos dar tu tema como solucionado.
salu2!
Una ultima consulta si me permitis,pero antes agradeceros sinceramente la ayuda que desinteresadamente ofreceis a gente como yo, ignorantes en el asunto de las amenazas, que sin ella estariamos perdidos, muchas gracias!!
La consulta es que se me acaba el norton 2007 en breves,me recomendariais algo mejor o esta bien asi, y me aconsejariais instalar algo mas para proteger el pc?.Gracias otra vez,un saludo.
polytheneFer 27/01/08, 05:31:59 Hola!
En primer lugar, decir que soy nuevo y que espero participar todo lo que pueda por aquí.
Mi problema es muy parecido al de albsss. Ayer se infectó mi portátil con un archivo descargado. Desde entonces ocurrió lo siguiente:
Mi antivirus NOD32 desapareció, y es imposible reinstalarlo me da el error de no ser una aplicación win32 válida. Lo mismo pasa con el AdAware que me descargué para intentar eliminar el problema.
También me da un error el Windows Defender (por cierto, tengo el Vista Home Premium) nada más iniciar sesión.
Tuve que corregir el registro para poder conectarme a internet.
Gracias al EliBaglA, sé que estoy infectado con el Bagle y sé cual es el archivo infectado: mdelk.exe que está en la carpeta System32 de Windows. El problema es que este programa no es capaz, o al menos eso parece, de eliminarlo. Reinicio y reinicio y siempre me da el mismo archivo, que por supuesto sigue ahí metido.
Ahora mismo estoy pasando el SUPERAntiSpyware que habéis recomendado pero ha pasado por alto ese archivo.
Ya no sé qué hacer para librarme de él. Si alguien pudiera darme ideas...
Gracias de antemano! Saludos
polytheneFer 27/01/08, 06:00:04 Un par de puntualizaciones:
He releído toda la ayuda que le sirvió a albsss, y tengo el siguiente problema. No logro ejecutar (ni en modo seguro) el avenger, dado que me sale el error de aplicación win32 no valida.
Y otra observación. Me acabo de dar cuenta de que siempre que inicio me sale una ventana de explorador de windows en la carpeta system32 con la leyenda "Select file to crack". No tengo ni idea de por qué.
Ayuda por favor!::Help::
Angel Doze 28/01/08, 00:09:30 Hola.
Una ultima consulta si me permitis,pero antes agradeceros sinceramente la ayuda que desinteresadamente ofreceis a gente como yo, ignorantes en el asunto de las amenazas, que sin ella estariamos perdidos, muchas gracias!!
La consulta es que se me acaba el norton 2007 en breves,me recomendariais algo mejor o esta bien asi, y me aconsejariais instalar algo mas para proteger el pc?.Gracias otra vez,un saludo.
Pues yo recomendaria que instalaras algo mas seguro y mes lijero que el que Norton , ya que este es muy pesado ... Asi que mejor piensa en Algo como Nod32 o Kaspersky.Respecto a que si seria bueno que instalaras el Spyware Blaster mas el Spybto S&D.
Listado Antivirus (http://www.infospyware.com/Anti-Virus/)
Listado Antispywares
Y bueno como tu problema ya se resolvio , procedo a pedir que cierren el Tema.
______________________________________
@ polytheneFer , debes abrir un nuevo tema , para que seas atendido , ok ?
salu2!
| |