Hola,
Hace días que tengo un troyano merodeando por mi ordenador. Descubrí que era un Bagle e intenté eliminarlo como decían, instalando y ejectudando el Elibagla, y con el ComboFix, pero no hay manera. Con el Elibagla parece que el ordenador se vuleve medio loco. No localiza ningun bagle y se reinicia sin parar. Con el Combfix directamente no funciona.
El problema que me produce es que no me deja instalar ningun antivirus
He escaneado con el BitDefender y se me sale el siguiente report:
Fecha de Análisis: Wed Feb 17 19:08:02 2010
ID de la Máquina: 9859530D
Proceso winupgro.exe (2748) - ¡Proceso oculto!
Proceso flec006.exe (2776) - ¡Proceso oculto!
Proceso wintems.exe (2792) - ¡Proceso oculto!
Proceso winupgro.exe (2748) - Trojan.Downloader.Bagle.MD
Proceso flec006.exe (2776) - Win32.Bagle.SUQ@mm
Proceso wintems.exe (2792) - Win32.Bagle.SUQ@mm
¡Encontrados 4 arhivos infectados!
------------------------------------
C:\Documents and Settings\bernat\Datos de programa\drivers\winupgro.exe - MemScan:Trojan.Downloader.Bagle.MD
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe - MemScan:Trojan.Downloader.Bagle.MD
C:\Documents and Settings\bernat\Datos de programa\m\flec006.exe - Win32.Bagle.SUQ@mm
C:\WINDOWS\wintems.exe - Win32.Bagle.SUQ@mm
Procesos
--------
<sin firma> flec006.exe 2776 C:\Documents and Settings\bernat\Datos de programa\m\flec006.exe
<sin firma> wintems.exe 2792 C:\WINDOWS\wintems.exe
<sin firma> winupgro.exe 2748 C:\Documents and Settings\bernat\Datos de programa\drivers\winupgro.exe
<verificado> Adobe Acrobat 2644 C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe
<verificado> Apple Mobile Device Service 1928 C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
<verificado> Bluetooth Software 5.0.1.1200 1960 C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
<verificado> Bluetooth Software 5.0.1.1200 2812 C:\Archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe
<verificado> Firefox 3212 C:\Archivos de programa\Mozilla Firefox\firefox.exe
<verificado> Intel(R) PROSet/Wireless Event Log 1060 C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
<verificado> Intel(R) PROSet/Wireless Registry Service 436 C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
<verificado> Intel(R) PROSet/Wireless Service 1108 C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
<verificado> iTunes 3604 C:\Archivos de programa\iPod\bin\iPodService.exe
<verificado> iTunes 2532 C:\Archivos de programa\iTunes\iTunesHelper.exe
<verificado> Java(TM) Platform SE 6 U17 2020 C:\Archivos de programa\Java\jre6\bin\jqs.exe
<verificado> Java(TM) Platform SE 6 U17 2552 C:\Archivos de programa\Java\jre6\bin\jusched.exe
<verificado> Microsoft® Windows® Operating System 260 C:\WINDOWS\System32\alg.exe
<verificado> Microsoft® Windows® Operating System 672 C:\WINDOWS\system32\csrss.exe
<verificado> Microsoft® Windows® Operating System 752 C:\WINDOWS\system32\lsass.exe
<verificado> Microsoft® Windows® Operating System 1756 C:\WINDOWS\system32\spoolsv.exe
<verificado> Microsoft® Windows® Operating System 1292 C:\WINDOWS\system32\svchost.exe
<verificado> Microsoft® Windows® Operating System 540 C:\WINDOWS\system32\svchost.exe
<verificado> Microsoft® Windows® Operating System 1884 C:\WINDOWS\system32\svchost.exe
<verificado> Microsoft® Windows® Operating System 920 C:\WINDOWS\system32\svchost.exe
<verificado> Microsoft® Windows® Operating System 984 C:\WINDOWS\system32\svchost.exe
<verificado> Microsoft® Windows® Operating System 1024 C:\WINDOWS\System32\svchost.exe
<verificado> Microsoft® Windows® Operating System 1184 C:\WINDOWS\system32\svchost.exe
<verificado> Microsoft® Windows® Operating System 1200 C:\WINDOWS\system32\wbem\wmiprvse.exe
<verificado> Microsoft® Windows® Operating System 3528 C:\WINDOWS\system32\wuauclt.exe
<verificado> Microsoft® Windows® Operating System 212 C:\WINDOWS\system32\wuauclt.exe
<verificado> NMSAccessU.exe 268 C:\Archivos de programa\CDBurnerXP\NMSAccessU.exe
<verificado> NVIDIA Driver Helper Service, Version 83.40 348 C:\WINDOWS\system32\nvsvc32.exe
<verificado> Realtek HD Audio Data Rerouter 4032 C:\Documents and Settings\bernat\Configuración local\Temp\RtkBtMnt.exe
<verificado> Realtek HD Audio Sound Effect Manager 2596 C:\WINDOWS\RTHDCPL.EXE
<verificado> Sistema operativo Microsoft® Windows® 1848 C:\WINDOWS\Explorer.EXE
<verificado> Sistema operativo Microsoft® Windows® 2492 C:\WINDOWS\system32\RUNDLL32.EXE
<verificado> Sistema operativo Microsoft® Windows® 740 C:\WINDOWS\system32\services.exe
<verificado> Sistema operativo Microsoft® Windows® 616 C:\WINDOWS\System32\smss.exe
<verificado> Sistema operativo Microsoft® Windows® 1132 C:\WINDOWS\system32\wbem\wmiapsrv.exe
<verificado> Sistema operativo Microsoft® Windows® 696 C:\WINDOWS\system32\winlogon.exe
Actividad de red
----------------
Proceso flec006.exe (2776) conectado en el puerto 4500 - 83.233.30.55
Proceso flec006.exe (2776) conectado en el puerto 4500 - 83.233.30.128
Proceso flec006.exe (2776) conectado en el puerto 4500 - 195.242.152.138
Proceso firefox.exe (3212) conectado en el puerto 80 (HTTP) - ww-in-f157.1e100.net
Proceso firefox.exe (3212) conectado en el puerto 80 (HTTP) - mg41a.mail.vip.ird.yahoo.com
Proceso firefox.exe (3212) conectado en el puerto 80 (HTTP) - *.122.2o7.net
Proceso firefox.exe (3212) conectado en el puerto 80 (HTTP) - ey-in-f100.1e100.net
Proceso firefox.exe (3212) conectado en el puerto 80 (HTTP) - ey-in-f100.1e100.net
Proceso firefox.exe (3212) conectado en el puerto 80 (HTTP) - 87.242.79.77
Proceso firefox.exe (3212) conectado en el puerto 80 (HTTP) - a88-221-92-41.deploy.akamaitechnologies.com
Proceso svchost.exe (984) escuchar en puertos: 135 (RPC)
Proceso flec006.exe (2776) escuchar en puertos: 4704, 4774, 4824, 4894, 4964, 5014, 5084, 5154
Proceso wintems.exe (2792) escuchar en puertos: 17555
Autoruns y archivos críticos
----------------------------
<sin firma> Aplicación Elis C:\Documents and Settings\bernat\Escritorio\EliBaglA.exe
<sin firma> msnmsgr.exe C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
<sin firma> QuickTime C:\Archivos de programa\QuickTime\QTTask.exe
<verificado> Adobe Acrobat C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe
<verificado> Adobe Reader and Acrobat Manager C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe
<verificado> Apple Software Update C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe
<verificado> iTunes C:\Archivos de programa\iTunes\iTunesHelper.exe
<verificado> Java(TM) Platform SE 6 U17 C:\Archivos de programa\Java\jre6\bin\jusched.exe
<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\cryptnet.dll
<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\dimsntfy.dll
<verificado> NVIDIA Compatible Windows 2000 Display driver, Ver C:\WINDOWS\system32\NvCpl.dll
<verificado> NVIDIA Media Center Library C:\WINDOWS\system32\nvmctray.dll
<verificado> nwiz.exe C:\WINDOWS\system32\nwiz.exe
<verificado> OGAEXEC.exe C:\WINDOWS\system32\OGAEXEC.exe
<verificado> Programa de Ventajas de Windows Original C:\WINDOWS\system32\WgaLogon.dll
<verificado> Realtek AC97 Audio - Event Monitor C:\WINDOWS\ALCMTR.EXE
<verificado> Realtek HD Audio Sound Effect Manager C:\WINDOWS\RTHDCPL.EXE
<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\browseui.dll
<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\crypt32.dll
<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\cscdll.dll
<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\logonui.exe
<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\sclgntfy.dll
<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\shell32.dll
<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\stobject.dll
<verificado> Sistema operativo Microsoft® Windows® c:\windows\system32\userinit.exe
<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\webcheck.dll
<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\wlnotify.dll
Plugins del Navegador
---------------------
<sin firma> Java(TM) Platform SE 6 U17 c:\archivos de programa\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
<verificado> AcroIEHelperShim Library c:\archivos de programa\archivos comunes\adobe\acrobat\activex\acroiehelpershim.dll
<verificado> Adobe Acrobat C:\Archivos de programa\Mozilla Firefox\plugins\nppdf32.dll
<verificado> Adobe® Flash® Player ActiveX C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
<verificado> BitDefender QuickScan C:\Documents and Settings\bernat\Datos de programa\Mozilla\Firefox\Profiles/qtgk6uxn.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
<verificado> BitDefender QuickScan C:\Documents and Settings\bernat\Datos de programa\Mozilla\Firefox\Profiles/qtgk6uxn.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
<verificado> Java Deployment Toolkit 6.0.170.4 C:\Archivos de programa\Mozilla Firefox\plugins\npdeploytk.dll
<verificado> Java(TM) Platform SE 6 U17 c:\archivos de programa\java\jre6\bin\jp2ssv.dll
<verificado> Messenger C:\Archivos de programa\Messenger\msmsgs.exe
<verificado> Microsoft Office 2003 C:\Archivos de programa\Mozilla Firefox\plugins\NPOFFICE.DLL
<verificado> Microsoft® Windows Live Login Helper c:\archivos de programa\archivos comunes\microsoft shared\windows live\windowslivelogin.dll
<verificado> Microsoft® Windows® Operating System C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\rsvpsp.dll
<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\winrnr.dll
<verificado> Mozilla Default Plug-in C:\Archivos de programa\Mozilla Firefox\plugins\npnul32.dll
<verificado> npitunes.dll C:\Archivos de programa\iTunes\Mozilla Plugins\npitunes.dll
<verificado> NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
<verificado> Pando Web Installer C:\Archivos de programa\Mozilla Firefox\plugins\npPandoWebInst.dll
<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\mswsock.dll
<verificado> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\shdocvw.dll
<verificado> Windows Presentation Foundation c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
Archivos perdidos
-----------------
Archivo no encontrado: c:\windows\debug\dido.exe
hace referencia a: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"rundll32.exe"
Archivo no encontrado: c:\windows\lsass.exe
hace referencia a: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"lsass.exe"
Analizar
--------
Archivo no enviado
Scan finished - communication took 2 sec
Total traffic - 0.01 MB enviado, 0.73 KB recibido
Scanned 651 files and modules - 35 seconds
foly1
Mensajes enviados1354Fecha de inscripciónsábado, 13 de diciembre de 2008EstatusMiembroÚltima intervenciónviernes, 7 de mayo de 2010761 19 feb 2010 a las 13:56
foly1
Mensajes enviados1354Fecha de inscripciónsábado, 13 de diciembre de 2008EstatusMiembroÚltima intervenciónviernes, 7 de mayo de 2010761 19 feb 2010 a las 13:57
foly1
Mensajes enviados1354Fecha de inscripciónsábado, 13 de diciembre de 2008EstatusMiembroÚltima intervenciónviernes, 7 de mayo de 2010761 19 feb 2010 a las 14:00
