Hace unos días tuve una infección del Bagle.od, con todos los síntomas de reinicios continuos, aparición de avisos etc., similares a los descritos en otros post.
Siguiendo instrucciones de temas de ese foro pasé Ccleaner, SuperantiSpyware, Spybot, Malwarebyts y los antivirus Kaspersky, Ewido y Nod32. Practicamente acabé con el Bagle, pero no he acabado de limpiar el ordenador.
Adjunto informes de Kaspersky y Nod32, que son los que dado algo significativo.
KASPERSKY ONLINE SCANNER INFORME
jueves, 08 de mayo de 2008 10:35:04
Sistema operativo: Microsoft Windows XP Professional, (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 8/05/2008
Registros en la base antivirus: 667290
Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero
Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\
Estadísticas
Número de objeros analizados 91166
Virus encontrados 1
Objetos infectados 2 / 0
Objetos sospechosos 0
Duración del análisis 03:48:53

Bombre del objeto infectado Nombre del virus Última acción
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\SchedLog.Txt Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\SYSTEM32\config\system Object is locked saltado
C:\WINDOWS\SYSTEM32\config\system.LOG Object is locked saltado
C:\WINDOWS\SYSTEM32\config\software.LOG Object is locked saltado
C:\WINDOWS\SYSTEM32\config\default.LOG Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SECURITY Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SAM Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\SYSTEM32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SOFTWARE Object is locked saltado
C:\WINDOWS\SYSTEM32\config\DEFAULT Object is locked saltado
C:\WINDOWS\SYSTEM32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\SYSTEM32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\SYSTEM32\h323log.txt Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
C:\WINDOWS\TEMP\Perflib_Perfdata_474.dat Object is locked saltado
C:\WINDOWS\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\WINDOWS\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\Debug\oakley.log Object is locked saltado
C:\WINDOWS\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\undo\backup.cab//Device/Harddisk0/Partition1/WINDOWS/All Users/Men· Inicio/Programas/Descargar programas.exe Infectados: Backdoor.Win32.Hupigon.bnca saltado
C:\undo\backup.cab CAB: infectado - 1 saltado
C:\Documents and Settings\jame\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\jame\Configuración local\Temp\Perflib_Perfdata_310.dat Object is locked saltado
C:\Documents and Settings\jame\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\jame\Configuración local\Historial\History.IE5\MSHist0120080508200805 09\index.dat Object is locked saltado
C:\Documents and Settings\jame\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\jame\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
Análisis completado.

Nod32

# version=4
# OnlineScanner.ocx=1.0.0.635
# OnlineScannerDLLA.dll=1, 0, 0, 79
# OnlineScannerDLLW.dll=1, 0, 0, 78
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3083 (20080507)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.064 (20070717)
# EOSSerial=2c8160ba6f607c499dc3989344930141
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2008-05-08 01:06:21
# local_time=2008-05-08 03:06:21 (+0100, Hora de verano romance)
# country="Spain"
# osver=5.1.2600 NT
# scanned=299383
# found=21
# scan_time=7539
C:\FILE0004.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FILE0005.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\WINDOWS\SYSTEM32\weezaduhcx.exe probably a variant of Win32/Adware.NaviPromo application (unable to clean - deleted) 00000000000000000000000000000000
C:\WINDOWS\SYSTEM32\antnpckm.exe a variant of Win32/Adware.NaviPromo application (unable to clean - deleted) 00000000000000000000000000000000
C:\WINDOWS\SYSTEM32\xrhtzu.exe probably a variant of Win32/Adware.NaviPromo application (unable to clean - deleted) 00000000000000000000000000000000
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\Recycled\Dc6.EXE Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.002\FILE0001.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.003\FILE0003.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.003\FILE0004.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.004\FILE0001.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.005\FILE0009.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.005\FILE0012.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.006\FILE0000.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.006\FILE0003.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.007\FILE0000.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.007\FILE0001.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.008\FILE0006.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.008\FILE0010.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.009\FILE0000.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.009\FILE0001.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
Como consecuencia de todo lo anterior, quisiera eliminar los virus que todavía quedan , pues el ordenador me funciona muy defectuosamente en muchos aspectos. Los más relevantes se producen durante el arranque,
Arrancando de forma normal:
aparece un pantalla azul, indicando que va a hacer una comprobación del siistema de archivos de C:, en esa comprobación indica de algunos archivos que "La primera unidad de asignación no es válida.La entrada estará truncada", y a continuación que ha resuelto la situación.
Si arranco en forma segura:
aparece una pantalla azul indicando que se ha encontrado un problema y Windows ha sido apagado para evitar daños en el equipo.Recomienda, si es la primera vez que aparece el aviso, reiniciar . Si fuera la segunda vez, ver si existen virus, y quitar los discos duros instalados recientemente y Ejecutar Chkdsk. Para salir de esa pantalla azul no me ha quedado más remedio que apagar el ordenador. He pasado un par de veces el Scandisk completo ( 20 horas) y en algún caso ha indicado problemas pero los ha resuelto.
Evidentemente, todas las actuaciones arriba indicadas, no han sido en modo seguro, pues no he podido arranar de esa manera.
No doy más síntomas pues esto se haría interminable.
A la vista de todo lo anterior ¿ Qué hago?
Gracias por anticipado.

Hola Heth

Elimina los siguientes archivos:

• C:\undo\backup.cab//Device/Harddisk0/Partition1/WINDOWS/All Users/Men· Inicio/Programas/Descargar programas.exe
• C:\undo\backup.cab CAB

Realiza lo siguiente:

Descarga y/o Actualiza:

• SUPERAntiSpyware Free
• malwarebytes
• Dr. Web CureIt
• CCleaner

Reinicia a Modo Prueba de Fallos (Modo Seguro)

activar ver archivos ocultos

Ejecuta uno a uno:

• SuperAntyspyware
• MalwareBytes (manual)
• Dr Web CureIt
• Ccleaner ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad). Realiza Varios Analisis

Incia en Modo Normal.

Haz un escaneo online con:

• Eset scanner Online
• Karpersky (lee el Manual) Y nos Pegas ese nuevo Reporte de Karpersky Aqui junto con el reporte de malwarebytes y Dr Web CureIt.

Mis saludos :bien:

Hola francisco157.
Como decía en mi post, el Bagle me ha dejado un montón de secuelas, una de ellas, es que no puedo ver los archivos ocultos, y consecuentemente no puedo borrarlos. Y no sé como hacer para poder ver dichos archivos ocultos.
Para intentarlo, voy a MiPc, >Herramientas>Opciones de Carpeta>Ver; hay una opción que dice "No mostrar archivos ocultos o del sistema", que está desmarcada, lo que quiere decir que deberían verse, cuando la realidad es que no se ven.
¿ Me puedes dar una pista?
Gracias por adelantado.
Saludos.
Heth

Hola francisco157.
Como la primera dificultad que tengo, es ver los archivos ocultos, me he metido en otro tema del foro, que está tratando este asunto a ver si consigo algo.
Por otra parte quería hacerte una consulta. En principio el Kaspersky ha detectado un virus, porque ha sido capaz de encontrar el archivo ( oculto), en que se encontraba ; y los otros antivirus ( que son varios ), no han detectado el virus, probablemente porque no han encontrado el archivo oculto.
Mi pregunta es ¿ No hay un antivirus que, como el Kaspersky, detecte los archivos ocultos, y además elimine el virus?
Mientras tanto seguiré pasando antivirus, aunque sea en modo normal, para probar suerte.
Saludos.
Heth.

Hola francisco157.
Por fin, y utilizando el MSDOS, conseguí borrar los ficheros dañados; pasé el Kaspersky online, y ya daba limpio. No puedo enviarlo, porque ahora se me ha estropeado el acceso a Internet, y tampoco he podido operar en modo seguro porque no me permite el ordenador operar de este modo.
Coando resuelva estos problemas volveré sobre el tema.
Saludos.

Heth

Hola Heth

Que tipo de conexion tienes? descarga y ejecuta el winsockxpfix
Mis saludos y nos comentas

Hola francisco157.
Apliqué el windsockxpfix, y no me resolvió el problema, pero posteriormente, y sin saber porqué, ya puedo entrar en Internet.
Estoy escaneando con diferentes hetrramientas, y hasta ahora sale todo limpio.
Te mando una copia del Kaspersky. Como no hay problemas, y al objeto de ahorrar espacio, te mando una copia del encabezamiento . Si quieres te puedo mandala copia completa. Te seguiré enviando más informes conforme los vaya elaborando, y si salen limpios y en tanto sea suficientemente explicaativo, te mandaré solo las cabeceras.
Si no te parece adecuado, me lo indicas y te mandaré los informes completos.
Saludos.
Heth

Hoal francisco157.
Ahí va la copia prometida.

KASPERSKY ONLINE SCANNER INFORME
viernes, 16 de mayo de 2008 0:47:28
Sistema operativo: Microsoft Windows XP Professional, (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 15/05/2008
Registros en la base antivirus: 691971
Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero
Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\
Estadísticas
Número de objeros analizados 90433
Virus encontrados 0
Objetos infectados 0 / 0
Objetos sospechosos 0
Duración del análisis 03:29:25
Saludos.
Heth.

Hola Heth

Como tu dijistes el reporte esta limpio comentanos como anda tu pc y si podemos dar por solucionado el tema

Mis saludos

Hola francisco157.
Te adjunto otro informe.

Malwarebytes' Anti-Malware 1.11
Database version: 599

Scan type: Full Scan (C:\|)
Objects scanned: 119309
Time elapsed: 43 minute(s), 43 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Yo tambien creo que el problema de virus ha desparecido. Tengo algunos problemas con la conexión a Internet, pero no creo que sea por el motivo que nos ocupa.
Por tanto, tambien creo que se puede dar por cerrado el tema.
Gracias por todo.
Saludos.
Heth.