Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola a todos,

Primero de todo, gracias por la labor que lleváis acabo desinfectanto ordenadores desinteresadamente.


He intentado solucionar mi problema con algún caso similar pero no lo he conseguido. He realizado las siguientes acciones.

Al pasar el antispyware se me reinicia el ordenador.

No me permite iniciar en modo de seguro, he descargado el FS-Fixbagle y tampoco me ha dejado con esa opción.

No me deja iniciar el Hijackthis.Me dice que no es una aplicación válida.

He descargado e instalado el Dr. Web cureIt y tampoco deja que termine de examinar el Pc, antes de terminar se para.

Lo mismo ocurre con el AVG anti-spyware me dice que "falla la conexión con el servicio. Reinstale AVG".

El Ccleaner no me deja iniciarlo tampoco.

El único que me ha dejado pasar ha sido el Malwarebytes anti-malware.

Ya no sé que mas hacer!!! Gracias de antemano.


Aqui os dejo parte del LOG del FS-Fixbagle.
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-02 20:43:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

C:\WINDOWS\system32\drivers\hldrrr.exe [3356] 0x861A9BA8
C:\WINDOWS\system32\wintems.exe [3612] 0x860FF300

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ SYSTEM]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\driver s\srosa.sys"
"DisplayName"="Megadrv3"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\SYSTEM]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\driver s\srosa.sys"
"DisplayName"="Megadrv3"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ SYSTEM]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\driver s\srosa.sys"
"DisplayName"="Megadrv3"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Installer\Folders]
"C:\WINDOWS\Installer\{90110C0A-6000-11D3-8CFE-0150048383C9}\"=""
"C:\Archivos de programa\Telefonica\"=""
"c:\Archivos de programa\MSXML 4.0\"="1"
"c:\WINDOWS\winsxs\x86_Microsoft.MSXML2_6bd6b9abf3 45378f_4.20.9841.0_x-ww_18171213\"=""
"c:\WINDOWS\winsxs\x86_Microsoft.MSXML2R_6bd6b9abf 345378f_4.1.0.0_x-ww_29c3ad6a\"=""
"c:\WINDOWS\winsxs\Policies\x86_policy.4.20.Micros oft.MSXML2_6bd6b9abf345378f_x-ww_88e8eab8\"=""
"c:\WINDOWS\Installer\{37477865-A3F1-4772-AD43-AAFC6BCFF99F}\"=""
"C:\WINDOWS\winsxs\x86_Microsoft.VC80.CRT_1fc8b3b9 a1e18e3b_8.0.50727.163_x-ww_681e29fb\"=""
"C:\WINDOWS\winsxs\Policies\x86_policy.8.0.Microso ft.VC80.CRT_1fc8b3b9a1e18e3b_x-ww_77c24773\"="

"

-------------------------------------
Malwarebytes' Anti-Malware 1.26
Versión de la Base de Datos: 1104
Windows 5.1.2600 Service Pack 2

02/09/2008 20:14:46
mbam-log-2008-09-02 (20-14-46).txt

Tipo de examen : Examen Rápido
Objetos examinados: 48425
Tiempo transcurrido: 6 minute(s), 20 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 2
Ficheros Infectados: 42

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Archivos de programa\Live_TV (Adware.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\Archivos de programa\Live_TV\INSTALL.LOG (Adware.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\102078.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\103687.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\104859.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\105328.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\105578.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\111281.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\111937.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\112765.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\116531.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\118718.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\137109.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\140531.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\191937.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\204843.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\212500.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\225250.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\62953.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\65937.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\69234.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\70625.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\71953.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\73390.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\75750.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\76406.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\77250.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\78031.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\79625.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\79796.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\82390.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\85812.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\87515.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\89625.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\92046.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\92843.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\94671.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\96375.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\97562.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> Delete on reboot.
C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\hldrrr.exe (Rootkit.Agent) -> Delete on reboot.

Hola cris74, te doy la Bienvenida.

Este no es el reporte de FS-FixBagle:

Ese mas bien, solo es el de Catchme, que es parte de FS-FixBagle.

Por lo que elimine la copia enterior de FS-FixBagle y descargue la Siguiente:

Descarga y ejecuta el FS-FixBagle (Adjunta al Final de Post.)

SAlu2!
Me cuentas...!

Hola aqui os dejo el reporte.

Me sigue sin dejar ejecutar los antimalware.

Reporte de FS-FixBagle 1.0.01
Fecha de creacion: 18:40:08,59, 03/09/2008
Sistema Operativo: Microsoft Windows XP [Versi¢n 5.1.2600]
Modo de Inicio: Normal
FS-FixBagle se ejecuto: C:\


~~~~~~~~~~~~~ Objetos Encontrados


~~~~~ Archivos

C:\WINDOWS\system32\ban_list.txt - Eliminado
C:\Windows\system32\Drivers\downld\104609.exe - Eliminado
C:\Windows\system32\Drivers\downld\110656.exe - Eliminado
C:\Windows\system32\Drivers\downld\118500.exe - Eliminado
C:\Windows\system32\Drivers\downld\125000.exe - Eliminado
C:\Windows\system32\Drivers\downld\133656.exe - Eliminado
C:\Windows\system32\Drivers\downld\136906.exe - Eliminado
C:\Windows\system32\Drivers\downld\211171.exe - Eliminado
C:\Windows\system32\Drivers\downld\220812.exe - Eliminado
C:\Windows\system32\Drivers\downld\230578.exe - Eliminado
C:\Windows\system32\Drivers\downld\241921.exe - Eliminado
C:\Windows\system32\Drivers\downld\48078.exe - Eliminado
C:\Windows\system32\Drivers\downld\69359.exe - Eliminado
C:\Windows\system32\Drivers\downld\72062.exe - Eliminado
C:\Windows\system32\Drivers\downld\76046.exe - Eliminado
C:\Windows\system32\Drivers\downld\78812.exe - Eliminado
C:\Windows\system32\Drivers\downld\80640.exe - Eliminado
C:\Windows\system32\Drivers\downld\83625.exe - Eliminado
C:\Windows\system32\Drivers\downld\85718.exe - Eliminado
C:\Windows\system32\Drivers\downld\87031.exe - Eliminado
C:\Windows\system32\Drivers\downld\92062.exe - Eliminado
C:\Windows\system32\Drivers\downld\93546.exe - Eliminado

~~~~ Carpetas
C:\WINDOWS\system32\drivers\downld - Eliminada



~~~~ Catchme Detector

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-03 18:40:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ SYSTEM]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\driver s\srosa.sys"
"DisplayName"="Megadrv3"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\SYSTEM]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\driver s\srosa.sys"
"DisplayName"="Megadrv3"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ SYSTEM]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\driver s\srosa.sys"
"DisplayName"="Megadrv3"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Installer\Folders]
"C:\WINDOWS\Installer\{90110C0A-6000-11D3-8CFE-0150048383C9}\"=""
"C:\Archivos de programa\Telefonica\"=""
"c:\Archivos de programa\MSXML 4.0\"="1"
"c:\WINDOWS\winsxs\x86_Microsoft.MSXML2_6bd6b9abf3 45378f_4.20.9841.0_x-ww_18171213\"=""
"c:\WINDOWS\winsxs\x86_Microsoft.MSXML2R_6bd6b9abf 345378f_4.1.0.0_x-ww_29c3ad6a\"=""
"c:\WINDOWS\winsxs\Policies\x86_policy.4.20.Micros oft.MSXML2_6bd6b9abf345378f_x-ww_88e8eab8\"=""
"c:\WINDOWS\Installer\{37477865-A3F1-4772-AD43-AAFC6BCFF99F}\"=""
"C:\WINDOWS\winsxs\x86_Microsoft.VC80.CRT_1fc8b3b9 a1e18e3b_8.0.50727.163_x-ww_681e29fb\"=""
"C:\WINDOWS\winsxs\Policies\x86_policy.8.0.Microso ft.VC80.CRT_1fc8b3b9a1e18e3b_x-ww_77c24773\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\Color\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\Color\Settings\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\Color\Profiles\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\Color\Profiles\Recommended\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\Color\Settings\Recommended\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\Color\Settings\ExtraSettings\"=""
"C:\Documents and Settings\All Users\Datos de programa\Adobe\"="1"
"C:\WINDOWS\winsxs\x86_Microsoft.VC80.MFC_1fc8b3b9 a1e18e3b_8.0.50727.163_x-ww_39049d00\"=""
"C:\WINDOWS\winsxs\x86_Microsoft.VC80.MFCLOC_1fc8b 3b9a1e18e3b_8.0.50727.163_x-ww_8e53b5fe\"=""
"C:\WINDOWS\winsxs\Policies\x86_policy.8.0.Microso ft.VC80.MFC_1fc8b3b9a1e18e3b_x-ww_0f75c32e\"=""
"C:\WINDOWS\winsxs\Policies\x86_policy.8.0.Microso ft.VC80.MFCLOC_1fc8b3b9a1e18e3b_x-ww_caeee150\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\Browser\"="1"
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\"="1"
"C:\Archivos de programa\Adobe\Acrobat 7.0\Setup Files\RdrBig\"="1"
"C:\Archivos de programa\Adobe\Acrobat 7.0\Setup Files\RdrBig\ENU\"="1"
"C:\Archivos de programa\Adobe\Acrobat 7.0\Setup Files\RdrBig\ESP\"="1"
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\VDKHome\ENU\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\VDKHome\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\VDKHome\ESP\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\AcroForm\"=""

He quitado unas filas porque no me cabían.


"C:\Archivos de programa\Archivos comunes\Microsoft Shared\Visual Database Tools\VDT70.DLL"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\Visual Database Tools\VDT70G.DLL"=dword:00000001
"C:\WINDOWS\system32\FM20ENU.DLL"=dword:000000 01
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000000
"TracesSuccessful"=dword:00000000
"LastTraceFailure"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"drvsyskit"="C:\WINDOWS\system32\drivers\hldrrr.ex e"
"german.exe"="C:\WINDOWS\system32\wintems.exe"

scanning hidden files ...

C:\WINDOWS\system32\drivers\srosa.sys 119948 bytes executable
C:\WINDOWS\system32\drivers\hldrrr.exe 675848 bytes executable
C:\WINDOWS\system32\drivers\mdelk.exe 675848 bytes executable
C:\WINDOWS\system32\mdelk.exe 68618 bytes executable
C:\WINDOWS\system32\wintems.exe 68618 bytes executable
C:\WINDOWS\ime\shared
C:\WINDOWS\ime\shared\res
C:\Documents and Settings\cris\Escritorio\Directorio 50000 Empresas Españolas 1(DUNS)\AUTORUN.INF 45 bytes

scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 8



~~~~ Registro


[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.ex e"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.ex e"
"RTHDCPL"="RTHDCPL.EXE"
"SkyTel"="SkyTel.EXE"
"Alcmtr"="ALCMTR.EXE"
"WinVNC"="\"C:\\Archivos de programa\\VNC\\WinVNC.exe\" -servicehelper"
"NeroFilterCheck"="C:\\Archivos de programa\\Archivos comunes\\Ahead\\Lib\\NeroCheck.exe"
"QuickTime Task"="\"C:\\Archivos de programa\\QuickTime\\qttask.exe\" -atboottime"
"avast!"="C:\\ARCHIV~1\\ALWILS~1\\Avast4\\ashDisp. exe"
"Acrobat Assistant 8.0"="\"C:\\Archivos de programa\\Adobe\\Acrobat 8.0\\Acrobat\\Acrotray.exe\""
@=""
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binari es\\MSConfig.exe /auto"
"!AVG Anti-Spyware"="\"C:\\Archivos de programa\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.ex e"
"swg"="C:\\Archivos de programa\\Google\\GoogleToolbarNotifier\\GoogleToo lbarNotifier.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Archivos de programa\\Archivos comunes\\Ahead\\lib\\NMBgMonitor.exe\""
"SUPERAntiSpyware"="C:\\Archivos de programa\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"
"MsnMsgr"="\"C:\\Archivos de programa\\Windows Live\\Messenger\\MsnMsgr.Exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run\AdobeUpdater]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runonceex]
"flags"=dword:00000008

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runonceex\000]



~~ Papeleria de Reciclaje, Vacia...!
~~ Archivos Temporales, Eliminados...!

~~~~~~~~~~~~~ Fin

Se actualizo la herramienta, por lo que elimine la copia enterior de FS-FixBagle y descargue la Siguiente:

Descarga y ejecuta el FS-FixBagle (Adjunta al Final de Post.)

Salu2!
Me cuentas!

Hola, ya he hecho lo que me has indicado.

Te dejo el reporte.

Reporte de FS-FixBagle 1.0.02
Fecha de creacion: 2133,50, 03/09/2008
Sistema Operativo: Microsoft Windows XP [Versi¢n 5.1.2600]
FS-FixBagle se ejecuto: C:\
Modo de Inicio: Normal


~~~~~~~~~~~~~ Objetos Encontrados


~~~~~ Archivos

C:\WINDOWS\system32\ban_list.txt - Eliminado
C:\WINDOWS\system32\mdelk.exe ... Renombrado a mdelk.FS-FixBagle
C:\WINDOWS\system32\Drivers\mdelk.exe ... Renombrado a mdelk.FS-FixBagle
C:\WINDOWS\system32\Drivers\srosa.sys ... Renombrado a srosa.FS-FixBagle
C:\WINDOWS\system32\Drivers\hldrrr.exe ... Renombrado a hldrrr.FS-FixBagle
C:\Windows\system32\Drivers\downld\120015.exe - Eliminado
C:\Windows\system32\Drivers\downld\127718.exe - Eliminado
C:\Windows\system32\Drivers\downld\226546.exe - Eliminado
C:\Windows\system32\Drivers\downld\238281.exe - Eliminado
C:\Windows\system32\Drivers\downld\86671.exe - Eliminado
C:\Windows\system32\Drivers\downld\95453.exe - Eliminado
C:\Windows\system32\Drivers\downld\96812.exe - Eliminado

~~~~ Carpetas
C:\WINDOWS\system32\drivers\downld - Eliminada



~~~~ Catchme Detector

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-03 21:11:07
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ SYSTEM]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\driver s\srosa.sys"
"DisplayName"="Megadrv3"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\SYSTEM]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\driver s\srosa.sys"
"DisplayName"="Megadrv3"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ SYSTEM]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\driver s\srosa.sys"
"DisplayName"="Megadrv3"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Installer\Folders]
"C:\WINDOWS\Installer\{90110C0A-6000-11D3-8CFE-0150048383C9}\"=""
"C:\Archivos de programa\Telefonica\"=""
"c:\Archivos de programa\MSXML 4.0\"="1"
"c:\WINDOWS\winsxs\x86_Microsoft.MSXML2_6bd6b9abf3 45378f_4.20.9841.0_x-ww_18171213\"=""
"c:\WINDOWS\winsxs\x86_Microsoft.MSXML2R_6bd6b9abf 345378f_4.1.0.0_x-ww_29c3ad6a\"=""
"c:\WINDOWS\winsxs\Policies\x86_policy.4.20.Micros oft.MSXML2_6bd6b9abf345378f_x-ww_88e8eab8\"=""
"c:\WINDOWS\Installer\{37477865-A3F1-4772-AD43-AAFC6BCFF99F}\"=""
"C:\WINDOWS\winsxs\x86_Microsoft.VC80.CRT_1fc8b3b9 a1e18e3b_8.0.50727.163_x-ww_681e29fb\"=""
"C:\WINDOWS\winsxs\Policies\x86_policy.8.0.Microso ft.VC80.CRT_1fc8b3b9a1e18e3b_x-ww_77c24773\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\Color\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\Color\Settings\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\Color\Profiles\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\Color\Profiles\Recommended\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\Color\Settings\Recommended\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\Color\Settings\ExtraSettings\"=""
"C:\Documents and Settings\All Users\Datos de programa\Adobe\"="1"
"C:\WINDOWS\winsxs\x86_Microsoft.VC80.MFC_1fc8b3b9 a1e18e3b_8.0.50727.163_x-ww_39049d00\"=""
"C:\WINDOWS\winsxs\x86_Microsoft.VC80.MFCLOC_1fc8b 3b9a1e18e3b_8.0.50727.163_x-ww_8e53b5fe\"=""
"C:\WINDOWS\winsxs\Policies\x86_policy.8.0.Microso ft.VC80.MFC_1fc8b3b9a1e18e3b_x-ww_0f75c32e\"=""
"C:\WINDOWS\winsxs\Policies\x86_policy.8.0.Microso ft.VC80.MFCLOC_1fc8b3b9a1e18e3b_x-ww_caeee150\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\Browser\"="1"
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\"="1"
"C:\Archivos de programa\Adobe\Acrobat 7.0\Setup Files\RdrBig\"="1"
"C:\Archivos de programa\Adobe\Acrobat 7.0\Setup Files\RdrBig\ENU\"="1"
"C:\Archivos de programa\Adobe\Acrobat 7.0\Setup Files\RdrBig\ESP\"="1"
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\VDKHome\ENU\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\VDKHome\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\VDKHome\ESP\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\AcroForm\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\WebSearch\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\AcroForm\PMP\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\Multimedia\MPP\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\Multimedia\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Help\ESP\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Help\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Help\ENU\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\PictureTasks\OLS\Locale\ESP\"= ""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\PictureTasks\OLS\Locale\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\PictureTasks\OLS\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\PictureTasks\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\PictureTasks\Howto\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\PictureTasks\OLS\Locale\ENU\"= ""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\PictureTasks\Templates\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\PictureTasks\Howto\images\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\Updater\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Resource\CMap\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Resource\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Resource\Font\PFM\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Resource\Font\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\Optional\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\Annotations\Stamps\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\Annotations\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\Annotations\Stamps\ENU\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\Annotations\Stamps\ESP\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\HowTo\ENU\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\HowTo\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\HowTo\ENU\Images\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\SPPlugins\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Esl\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\Javascripts\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\Legal\Adobe Reader\7.0.0\es_ES\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\Legal\Adobe Reader\7.0.0\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\Legal\Adobe Reader\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\Legal\"=""
"C:\Documents and Settings\All Users\Datos de programa\Adobe\Acrobat\7.0\Replicate\Security\"=""
"C:\Documents and Settings\All Users\Datos de programa\Adobe\Acrobat\7.0\Replicate\"=""
"C:\Documents and Settings\All Users\Datos de programa\Adobe\Acrobat\7.0\"=""
"C:\Documents and Settings\All Users\Datos de programa\Adobe\Acrobat\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\Messages\ESP\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\Messages\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\Messages\ENU\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\HowTo\ESP\Images\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\HowTo\ESP\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\ImageViewer\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\ImageViewer\en_US\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins\ImageViewer\es_ES\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Resource\Linguistics\Providers\Proximity\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Resource\Linguistics\Providers\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Resource\Linguistics\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\plug_ins3d\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\TypeSpt\Unicode\Mappings\Mac\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\TypeSpt\Unicode\Mappings\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\TypeSpt\Unicode\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\TypeSpt\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\TypeSpt\Unicode\Mappings\Adobe\"=""
"C:\Archivos de programa\Archivos comunes\Adobe\TypeSpt\Unicode\Mappings\win\"=""
"C:\Archivos de programa\Adobe\Acrobat 7.0\Resource\Linguistics\LanguageNames\"=""
"C:\WINDOWS\Installer\{AC76BA86-7AD7-1034-7B44-A70500000002}\"=""
"C:\Archivos de programa\Archivos comunes\Ahead\Lib\"="1"
"C:\Archivos de programa\Archivos comunes\Ahead\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero StartSmart\"="1"
"C:\Archivos de programa\Nero\Nero 7\"="1"
"C:\Archivos de programa\Nero\"="1"
"C:\Archivos de programa\Nero\Nero 7\Core\"="1"
"C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\"="1"
"C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\"="1"
"C:\Archivos de programa\Nero\Nero 7\Core\CDI\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero\Uninstall\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero\"="1"
"C:\Archivos de programa\Archivos comunes\Ahead\NAS\nas\presets\"="1"
"C:\Archivos de programa\Archivos comunes\Ahead\NAS\nas\"="1"
"C:\Archivos de programa\Archivos comunes\Ahead\NAS\"="1"
"C:\Archivos de programa\Archivos comunes\Ahead\RemoteControl\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\Backgrounds_Others\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\Backgrounds\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\BG_Content_BigListView\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\BG_Content_IconView\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\BG_Content_ListView\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\BG_Handlers\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\BG_MenuItems\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\BG_OSD\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\BG_PlayerControls\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\BG_Settings\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\Icons_Notifications\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\Icons_Content\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\Icons_FileTypes\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\Icons_Handlers\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\Icons_MediaCategory\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\Icons_MenuItems\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\Icons_OSD\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\Icons_PlayerControls\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\Icons_Settings\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\Icons_State\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\Logo\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\Graphics\VirtualKeyboard\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Horizon Sphere\XML\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\Backgrounds\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\BG_Content_IconView\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\BG_Content_ListView\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\BG_MenuItems\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\BG_Notifications\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\BG_OSD\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\BG_PlayerControls\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\BG_Settings\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\BG_Specials\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\Icons_Content\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\Icons_FileTypes\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\Icons_Handlers\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\Icons_MediaCategory\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\Icons_MenuItems\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\Icons_OSD\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\Icons_PlayerControls\"="1 "
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\Icons_Settings\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\Icons_State\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\Logo\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\Graphics\VirtualKeyboard\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Home\Skins\Spin\XML\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Vision\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Vision\Buttons\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Vision\MenuTemplates\Pictures\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Vision\MenuTemplates\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Vision\Video\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero ShowTime\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero ShowTime\Skins\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Recode\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero MediaHome\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NeroFiles\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero CoverDesigner\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero CoverDesigner\Templates\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero PhotoSnap\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero WaveEditor\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Drums\808\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Drums\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Drums\Acoustic\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Drums\Funk\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Drums\Hiphop\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Drums\House\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Drums\Industrial\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Drums\Jazz\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Drums\Rock\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Drums\Synth\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Drums\Techno\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Samples\Concert\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Samples\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Samples\Farm\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Samples\Horror\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Samples\Jungle\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Samples\Office\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Samples\Party\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Samples\Stadion\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Samples\Traffic\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Samples\Vehicles\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Samples\Weather\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundBox\Templates\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero SoundTrax\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero ImageDrive\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Toolkit\"="1"
"C:\Archivos de programa\Nero\Nero 7\Nero Fast CD-DVD Burning Plug-in\"="1"
"C:\Archivos de programa\Archivos comunes\Ahead\Nero Web\"="1"
"C:\WINDOWS\Installer\{24B4E125-B77F-E91F-0A65-43F4A3BE1034}\"=""
"C:\Documents and Settings\All Users\Datos de programa\Adobe\SING\datastore\"="1"
"C:\Documents and Settings\All Users\Datos de programa\Adobe\SING\"="1"
"C:\Archivos de programa\Archivos comunes\SYSTEM\MSMAPI\3082\SCANOST.EXE"=dword:0000 0001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE11\3082\MSOINTL.DLL"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE11\MSMH.DLL"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE11\MSSH.DLL"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\Smart Tag\3082\STINTL.DLL"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\Smart Tag\MOFL.DLL"=dword:00000001
"C:\Archivos de programa\Microsoft Office\OFFICE11\MSOSTYLE.DLL"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE11\RICHED20.DLL"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE11\USP10.DLL"=dword:00000001
"C:\Archivos de programa\Microsoft Office\OFFICE11\SAEXT.DLL"=dword:00000001
"C:\Archivos de programa\Microsoft Office\OFFICE11\PROFLWIZ.EXE"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\TEXTCONV\RECOVR32.CNV"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\TEXTCONV\WRD6ER32.CNV"=dword:00000001
"C:\Archivos de programa\Microsoft Office\OFFICE11\MSCAL.HLP"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE11\3082\ADO210.CHM"=dword:00000001
"C:\Archivos de programa\Microsoft Office\OFFICE11\3082\MSOHELP.EXE"=dword:00000001
"C:\Archivos de programa\Microsoft Office\OFFICE11\3082\VBAOF11.CHM"=dword:00000001
"C:\Archivos de programa\Microsoft Office\OFFICE11\3082\OFMAIN11.CHM"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\VBA\VBA6\VBACV10.DLL"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\VBA\VBA6\VBE6.DLL"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\VBA\VBA6\VBE6EXT.OLB"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\VBA\VBA6\3082\VBCN6.CHM"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\VBA\VBA6\3082\VBE6INTL.DLL"=dword:00000001
"C:\WINDOWS\system32\VBAME.DLL"=dword:00000001
"C:\WINDOWS\system32\SCP32.DLL"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\Portal\PortalConnect.dll"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\Visual Database Tools\3082\VDT70UI.DLL"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\Visual Database Tools\VDT70.DLL"=dword:00000001
"C:\Archivos de programa\Archivos comunes\Microsoft Shared\Visual Database Tools\VDT70G.DLL"=dword:00000001
"C:\WINDOWS\system32\FM20ENU.DLL"=dword:000000 01
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000000
"TracesSuccessful"=dword:00000000
"LastTraceFailure"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"drvsyskit"="C:\WINDOWS\system32\drivers\hldrrr.ex e"
"german.exe"="C:\WINDOWS\system32\wintems.exe"

scanning hidden files ...

C:\WINDOWS\system32\drivers\srosa.sys 119948 bytes executable
C:\WINDOWS\system32\drivers\hldrrr.exe 675848 bytes executable
C:\WINDOWS\system32\drivers\mdelk.exe 675848 bytes executable
C:\WINDOWS\system32\mdelk.exe 68618 bytes executable
C:\WINDOWS\ime\shared
C:\WINDOWS\ime\shared\res
C:\Documents and Settings\cris\Escritorio\Directorio 50000 Empresas Españolas 1(DUNS)\AUTORUN.INF 45 bytes

scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 7



~~~~ Registro


[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.ex e"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.ex e"
"RTHDCPL"="RTHDCPL.EXE"
"SkyTel"="SkyTel.EXE"
"Alcmtr"="ALCMTR.EXE"
"WinVNC"="\"C:\\Archivos de programa\\VNC\\WinVNC.exe\" -servicehelper"
"NeroFilterCheck"="C:\\Archivos de programa\\Archivos comunes\\Ahead\\Lib\\NeroCheck.exe"
"QuickTime Task"="\"C:\\Archivos de programa\\QuickTime\\qttask.exe\" -atboottime"
"avast!"="C:\\ARCHIV~1\\ALWILS~1\\Avast4\\ashDisp. exe"
"Acrobat Assistant 8.0"="\"C:\\Archivos de programa\\Adobe\\Acrobat 8.0\\Acrobat\\Acrotray.exe\""
@=""
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binari es\\MSConfig.exe /auto"
"!AVG Anti-Spyware"="\"C:\\Archivos de programa\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"OfcpfwSvcs.exe"="C:\\WINDOWS\\system32\\OfcpfwSvc s.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.ex e"
"swg"="C:\\Archivos de programa\\Google\\GoogleToolbarNotifier\\GoogleToo lbarNotifier.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Archivos de programa\\Archivos comunes\\Ahead\\lib\\NMBgMonitor.exe\""
"SUPERAntiSpyware"="C:\\Archivos de programa\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"
"MsnMsgr"="\"C:\\Archivos de programa\\Windows Live\\Messenger\\MsnMsgr.Exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run\AdobeUpdater]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runonceex]
"flags"=dword:00000008

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runonceex\000]



~~ Papeleria de Reciclaje, Vacia...!
~~ Archivos Temporales, Eliminados...!

~~~~~~~~~~~~~ Fin

Hola golfcris,

Sea tan amable de Buscar estos archivos :
Con cualquiera de las extensiones, de encontrarlos guardelos en un Zip y envielos a esta direccion:

• bleepingcomputer.com:Bleeping Computer - Computer Help and Discussion

En la seccion "Link to topic where this file was requested:" coloca el enlace de este tema, sube el archivo en .zip, comenta que son muestras de Bagle.

============================

• - Descarga ComboFix.exe
  
  • Dada tu infecciones, debes de cambiar el nombre antes de guardarlo en tu escritorio por Combo-Fix

--------------------------------------------------------------------

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Salu2!

He hecho lo que me has indicado y me sale un aviso que dice:Combo-fix ha detectado la presencia de un rootkit y es necesario reiniciar. en el fondo aparece el combofix ejecutandose. Así hasta tres veces y entonces vuelve a iniciar normalmente, pero no hay rastro del C:\ComboFix.txt.

Por otro lado no he podido enviar esos archivos porque ya no están en el sistema.

1. Puedes subir una imagen del Aviso que arroja ComboFix.
   • ¿Cómo subo imágenes al Foro?
2. Cuando ejecutaste el Archivo Fix.reg, se salieron 2 avisos o no paso nada?

1. Descargue Malwarebytes' Anti-Malware y guárdelo en un lugar conveniente.
2. Haga doble clic en setup.exe-mbam para instalarlo.
3. Elija idioma español
4. Antes de hacer clic en el botón Finalizar, asegúrese de que estas 2 casillas esten marcadas:
   • Actualización Malwarebytes' Anti-Malware
   • Ejecutar Malwarebytes' Anti-Malware
5. Seleccione la pestaña "Escáner".
6. Marque la Casilla de "Realizar un Examen Completo" . Haga clic en "Examinar", a continuación, haga clic en "Empezar a Examinar"
7. Una vez que haya finalizado el Analisis
8. Marque todos los elementos y haga clic en "Mandar A cuarentena."
9. se abrirá el Bloc de Notas. Por favor, este registro Peguelo en su próxima respuesta. También puede encontrar el Reporte en la "Pestaña" "Registros".

Salu2!
Me cuentas.

te dejo la imagen



Tras darle a reiniciar vuelve a salir lo mismo y sólo tengo opción de volver a reiniciar. A la tercera ocasión vuelve a iniciar y entra en windows.
Cuando ejecuté el fix.reg primero me preguntó si deseaba agregar la información al registro y luego otro mensaje que indicaba que la había introducido.

Aqwuñi te dejo el report. Gracias

Malwarebytes' Anti-Malware 1.26
Versión de la Base de Datos: 1104
Windows 5.1.2600 Service Pack 2

2008-09-03 23:45:37
mbam-log-2008-09-03 (23-45-37).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 150376
Tiempo transcurrido: 34 minute(s), 19 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 2

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\hldrrr.exe (Rootkit.Agent) -> Delete on reboot.

Cuentame como esta funcionando todo?

Salu2!