• Este sitio usa cookies. Para continuar usando este sitio, se debe aceptar nuestro uso de cookies. Más información.

VIRUS BARDIEL AYUDA

Estado
Cerrado para nuevas respuestas

andro

Nuevo Miembro
Miembro
#1
ATENCION POR FAVOR

ya se lo que le pasa a mi pc tengo el virus BARDIEL necesito un antivirus y no me puedo descargar ninguno debido a que ahora se me cierra tanto el explorer como el mozilla firefox.

AYUDA CUANTO ANTES GRACIAS ENVIENME SI ES POSIBLE EL ANTIVIRUS AL E-MAIL Y NO POONGAN LA PALABRA NI ANTIVIRUS NI VIRUS O PARECIDOS PUES NO ESTOY SEGURA DE QUE ME DEJE DESCARGARLO

GRACIAS !!!
 

alnitak

Ex-Admin
Miembro
#2
Por favor, bájate el HijackThis 1.98.2 crea una nueva carpeta solo para el y salvalo en ella, después ejecutalo, dale a Scan, después a save log y postea el log aquí mismo.
 

andro

Nuevo Miembro
Miembro
#3
Gracias, consegui utilizar tras muchos esfuerzoas el programa pero fue solo el primer paso, pero lo que me dio ventaja sobre el virus.

El siguiente fue borrar de la carpeta c:\archivosdeprograma\emule\incoming todas las subcarpetas que no me dejaba abrir, eran las copias del virus, este borrado es temporal pues hasta que no os paseis el antivirus que indico abajo no se eliminaran definitivamente, pero te permite poder seguir con los siguientes pasos.

El tercer paso conseguir información sobre el virus (bardiel) el cual supe el nombre porque se me instaló un archivo con su nombre en la raiz de C: (disco duro particion primaria), la información del virus la consegui en: http://www.perantivirus.com/sosvirus/virufamo/bardiel.htm
Aviso que a mi los unicos mensajes que me salian era el error tipico "no se encuentra el archivo" y el gedzac vive no recuerdo que me saliera, por lo que sospecho que seria algúna versión nueva, pero todo lo demas si resulto como la información dice.

El cuarto paso Instalar el antivirus "per antivirus" . en dicha pagina puedes encontrar el enlace que os llevara hasta el.

El quinto paso borrar el archivo bardiel.* sin abrirlo manualmente pues el antivirus es lo unico que no me borro.

Espero que esto pueda servir de ayuda a algúna otra persona con el problema que yo tube.

GRACIAS A TODOS POR VUESTRA AYUDA. besos
 

vikcasio

Nuevo Miembro
Miembro
#4
Hola, lo mismo me sucede a mí, tengo el maldito bardiel en mi pc, pero mi pregunta es la siguiente:

El escaneo de Hijack This, se hace desde la PC en modo normal? porque este virus no permite activar antivirus, ni corta fuegos, inclusive borró el Ad-Aware de Lavasoft...

Espero que me puedan responder mipregunta. Urgente, gracias
 

alnitak

Ex-Admin
Miembro
#5
Si vas a usarlo para hacer limpieza es mejor ejecutarlo entrando en modo seguro, si vas a usarlo para tomar un log y pasarselo a alguien para que te lo revise es mejor ejecutarlo en modo normal para que salgan todos los procesos.

Algunos malwares matan el hijackthis, en este es indispensable entrar en modo seguro y si aun así lo matan renombralo por si el malware lo mata por el nombre y si eso tampoco resulta, pues, habrá que buscar otra manera de eliminar el malware :confused:
 

vikcasio

Nuevo Miembro
Miembro
#6
Gracias Alnitak, pero la verdad, hice sólo el escaneo en modo normal (quería probar a ver si podía) y copié el log, a ver que me dices:
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.2

Scan saved at 12:44:57 p.m., on 19/10/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\GRPAPLOGBRD.COM

C:\WINNT\system32\MICROTWTOURSET.PIF

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.exe

C:\WINNT\system32\IPSETUPINFO.BAT

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINNT\system32\internat.exe

C:\WINNT\system32\rundll32.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\Cesar Paz\Mis documentos\solus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=191

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\IPSETUPINFO.BAT

F3 - REG:win.ini: run=C:\WINNT\system32\IPSETUPINFO.BAT

F2 - REG:system.ini: UserInit=

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: C:\WINNT\lbbho.dll - {20CF7F03-DCA5-4458-A610-5EED0224F295} - C:\WINNT\lbbho.dll

O2 - BHO: 1096936772 - {262277EC-5BB5-4849-8BF2-1824330C9CAC} - (no file)

O2 - BHO: No description - {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} - C:\WINNT\DOWNLO~1\iEBINST2.dll

O2 - BHO: SetupHtml Class - {51641EF3-8A7A-4D84-8659-B0911E947CC8} - C:\WINNT\DOWNLO~1\DOWNLO~1.DLL

O2 - BHO: No description - {60261C06-81B0-4DE0-9313-E5BA203A64E9} - C:\WINNT\DOWNLO~1\pdfmgr.dll

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\ARCHIV~1\QUICKT~1\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [BullsEye Network] C:\Archivos de programa\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\Run: [VBundleOuterDL] C:\Archivos de programa\VBouncer\BundleOuter.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [CDSETUP38] C:\WINNT\system32\CDSETUP38.PIF

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [IPSETUPINFO] C:\WINNT\system32\IPSETUPINFO.BAT

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EC...UTH_1022_ES.cab

O16 - DPF: {12E5E9D9-4366-45D9-BA41-D0BCD55AD8CF} (UDConnect Class) - http://17.sharedsource.org/html/NrsgroupUD_1.0.0.3ie.cab?

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...f7edadac81f3fd5

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.8.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab

O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D} (PremiumInternacional Class) - http://www.accesoplugin.com/dialercab/PPremiumInternacional.cab

O16 - DPF: {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} (No description) - http://naupoint.com/toolbar/installer/iEBINST2.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES.cab

O16 - DPF: {51641EF3-8A7A-4D84-8659-B0911E947CC8} (SetupHtml Class) - http://www.contenidospc.com/instalador.cab

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.grupomarineda.net/auto/DialerData.cab

O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab

O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_ES.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{919C7444-D91A-48A1-BC0B-D557935DCD87}: NameServer = 200.48.225.130,200.48.225.146
Mi pregunta es como ya hice el log, ahora si quisiera ya eliminar las entradas (las que hayan) en modo normal o seguro, variará el resultado del escaneo? :confused:
 

alnitak

Ex-Admin
Miembro
#7
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola, el log es el mismo en modo seguro que en modo normal, solo cambian los procesos activos que en modo normal salen todos.

Por favor, pon mucho cuidado a lo que te voy a decir:

Vamos a remover algúnas entradas delicadas, te las indicaré en color rojo, si después de reiniciar tu sistema no arranca correctamente podrás restaurarlas de la siguiente manera.

Ejecutas el hijackthis > boton config > pestaña backups > marca la entrada a restaurar y dale al botón restore, después devuelvele la extensión original a los archivos que haga falta restaurar entre los que te mandaré a renombrar.

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:Mostrar archivos ocultos

Reinicia el sistema en modo seguro:Como reiniciar a prueba de fallos

Entra al administrador de tareas: <Ctrl>+<Alt>+<Supr> y termina cualquiera de los siguientes procesos si existen:
Insertar CODE, HTML o PHP:
C:\WINNT\system32\GRPAPLOGBRD.COM
C:\WINNT\system32\MICROTWTOURSET.PIF
C:\WINNT\system32\IPSETUPINFO.BAT
Ejecuta el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:
Insertar CODE, HTML o PHP:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=191

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\IPSETUPINFO.BAT

F3 - REG:win.ini: run=C:\WINNT\system32\IPSETUPINFO.BAT

F2 - REG:system.ini: UserInit=

O2 - BHO: C:\WINNT\lbbho.dll - {20CF7F03-DCA5-4458-A610-5EED0224F295} - C:\WINNT\lbbho.dll

O2 - BHO: 1096936772 - {262277EC-5BB5-4849-8BF2-1824330C9CAC} - (no file)

O2 - BHO: No description - {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} - C:\WINNT\DOWNLO~1\iEBINST2.dll

O2 - BHO: SetupHtml Class - {51641EF3-8A7A-4D84-8659-B0911E947CC8} - C:\WINNT\DOWNLO~1\DOWNLO~1.DLL

O2 - BHO: No description - {60261C06-81B0-4DE0-9313-E5BA203A64E9} - C:\WINNT\DOWNLO~1\pdfmgr.dll

O4 - HKLM\..\Run: [BullsEye Network] C:\Archivos de programa\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\Run: [VBundleOuterDL] C:\Archivos de programa\VBouncer\BundleOuter.EXE

O4 - HKLM\..\Run: [CDSETUP38] C:\WINNT\system32\CDSETUP38.PIF

O4 - HKLM\..\Run: [IPSETUPINFO] C:\WINNT\system32\IPSETUPINFO.BAT

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EC...UTH_1022_ES.cab

O16 - DPF: {12E5E9D9-4366-45D9-BA41-D0BCD55AD8CF} (UDConnect Class) - http://17.sharedsource.org/html/NrsgroupUD_1.0.0.3ie.cab?

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...f7edadac81f3fd5

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/

O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D} (PremiumInternacional Class) - http://www.accesoplugin.com/dialercab/PPre...ternacional.cab

O16 - DPF: {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} (No description) - http://naupoint.com/toolbar/installer/iEBINST2.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES.cab

O16 - DPF: {51641EF3-8A7A-4D84-8659-B0911E947CC8} (SetupHtml Class) - http://www.contenidospc.com/instalador.cab

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.grupomarineda.net/auto/DialerData.cab

O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB

O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_ES.cab
Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema), hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner: Disk Cleaner

Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos:
Insertar CODE, HTML o PHP:
C:\WINNT\lbbho.dll
C:\WINNT\DOWNLO~1\iEBINST2.dll
C:\WINNT\DOWNLO~1\DOWNLO~1.DLL
C:\WINNT\DOWNLO~1\pdfmgr.dll
Renombra estos archivos cambiando la extensión a .bak
Insertar CODE, HTML o PHP:
CDSETUP38.PIF
C:\WINNT\system32\GRPAPLOGBRD.COM
C:\WINNT\system32\MICROTWTOURSET.PIF
C:\WINNT\system32\IPSETUPINFO.BAT
Elimina estas carpetas y todo su contenido
Insertar CODE, HTML o PHP:
C:\Archivos de programa\BullsEye Network\
C:\Archivos de programa\VBouncer\
Escaneate con un antivirus actualizado

Reinicia normalmente.

Instala la ultima versión de Ad Aware, actualízalo y escanéate para que termine de limpiar.

Toma otro log después de seguir todas las instrucciones
 

vikcasio

Nuevo Miembro
Miembro
#8
Gracias por la info Alnitak, como me dijiste, borré todas esas entradas, sólo que al darle el botón "Fixed", me salieron algúnos mensajes de error en inglés... no me fijé bien sobre que era... :( , así que después de escanear con Ad Aware, aquí está un log:
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.2

Scan saved at 05:49:44 p.m., on 19/10/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\Cesar Paz\Mis documentos\solus\cesarin.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\ARCHIV~1\QUICKT~1\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\Doita\Rasha\zlclient.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Actualización de PER Antivirus.lnk = C:\Archivos de programa\loki\PERUPD.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{919C7444-D91A-48A1-BC0B-D557935DCD87}: NameServer = 200.48.225.130,200.48.225.146
En el caso de ya estar totalmente limpio, quisiera saber cuál seria el siguiente paso? quizá sea instalar nuevamente el Zone Alarm...

Gracias por tu tiempo
 

alnitak

Ex-Admin
Miembro
#9
No veo ya ningún malware ejecutandose, el log parece estar limpio.

Ten en cuenta que lo que hacemos con el HijackThis es practicamente lo mismo que hace un antivirus solo que lo hacemos a mano y unicamente sobre los archivos que propagan la infeccion, osea desactivamos los malwares y terminamos la infeccion, pero al menos yo no tengo idea ni puedo humanamente estar al tanto de todos los cambios que los malwares han realizado en la configuración y archivos de tu sistema mientras se estaban ejecutando. Por ejemplo el BARDIEL tiene muy mala fama en cuanto es considerado un malware destructivo que infecta y destruye archivos y documentos y no tengo manera de saber cuantos y cuales pueda haber infectado o destruido ni puedo asegurarte que lo haya hecho, esto jamas saldrá en un log.

Cuando digo entonces que no hay ya ninguna infeccion en tu sistema quiero decir que en este momento el gusano no está activo y no está haciendo ningún daño, pero bien puedes tener 4.000 archivos infectados y volverte a infectar en cuanto los repiques y no hay manera de que yo te pueda decir cuales son ni que te pueda ayudar con ellos.

Es muy importante entonces que confies en tu antivirus para que termine de limpiar y que ejecutes un escaneo lo mas profundo posible después de actualizarlo.

Aqui te dejo un resumen de lo que hace el Bardiel para que te vayas haciendo idea:

Bardiel es un gusano extremadamente infeccioso y destructivo, reportado el 13 de Agosto del 2003 de alta propagación masiva a través de la mayoría de redes Peer to Peer, MSN Messenger y el ICQ. Este gusano deshabilita el REGEDIT y al siguiente reinicio lo borra, conjuntamente con otras importantes herramientas del sistema, para después infectar archivos de múltiples extensiones, tales como documentos de MS Word, Excel, Scripts, etc. y que pueden extenderse a Redes con recursos compartidos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic 6.0 y requiere que la librería MSVBVM60.DLL se encuentre instalada en los sistemas que infecte.

Tiene una extensión de 108 KB y está comprimido con la utilidad UPX (Ultimate Packer for eXecutables).

Ha sido creado en Perú por MachineDramon, miembro del grupo internacional de creadores de virus GEDZAC 2003.

Sus payloads son los siguientes:

- Se propaga masivamente a través de la mayoría de redes P2P, el ICQ y redes con recursos compartidos.

- Termina los procesos de antivirus, firewalls, software de control y seguridad, dejando a los sistemas infectados vulnerables a los virus y a ataques de intrusos.

- Deshabilita la seguridad e infecta documentos en Microsoft Word y Excel.

- Se propaga a través de unidades de Red con recursos compartidos.

- Deshabilita el REGEDIT.EXE (Editor del registro de Windows) y luego lo borra.

Borra archivos de diversas extensiones.

- Deja inutilizable al sistema. Se deberá reinstalar Windows.

Fuente: Per Antivirus
 

vikcasio

Nuevo Miembro
Miembro
#10
Muchísimas gracias por la ayuda Alnitak, por ahora el sistema se encuentra bien y he podido instalar sin problemas el Zone Alarm y descargado una actualización del antivirus.

Como dices, es difícil saber qué o cuántos archivos han sido infectados, espero contar con la gran ayuda del escaneo y mi antivirus.

Si al hacer el escaneo y la limpieza con el antivirus, noto que no hay ningún archivo infectado o dañado que reparar, entonces quiere decir que está todo ok?; esa sería mi pregunta y por lo demás, nuevamente mil gracias!
 
M

Monchy

Guest
#12
El gusano ambien me esta aacando... ncontré la solución gracias a una amiga : http://www.vsantivirus.com/bardiel-a.htm

s la página donde se dá con mucho detall como quitarlo... por desgracia no pudo hacerlo ya que estoy en un caf´inernet pero veré qu puedo hacer...
 
V

victimadeunvirus

Guest
#13
Amigos, también soy víctima de este apestoso virus, que ha echado por tierra todo mi trabajo de todo el año.
Hoy he encontrado algo de información al respecto.
Me encantaría poderles ayudar pero no puedo. lo único que puedo es recomendarles el siguiente link, que dicho sea de paso tuve que pedir ayuda con expertos, pero en todo caso les deseo mucha suerte.
http://www.vsantivirus.com/bardiel-a.htm
Saludos desde Guatemala.
 

yulaicesar

Nuevo Miembro
Miembro
#14
Hola. Mi problema se debe al Bardiel, tengo Windows XP pero a diferencia de las otras personas, los mensajes que me aparecen son distintos... Cuando inicio Windows se ejecuta una ventana de DOS comn titulo: C:/Bardiel.htm (este archivo esta en el directorio c:) En esta venta de DOS me aparece un mensaje que dice: "Muerte a Israel, USA y a sus aliados serviles. Libertad para Palestina, Afghanista e Irak" .. Lo cierro y no pasa nada. Luego al conectarme a Internet, la maquína se queda parada... Cuando trate de buscar info sobre Bardiel en goog.. me cerraba la ventana, insistia y la cerraba, a la tercera vez me inhibia la computadora...

Voy a bajarme el HijackThis 1.98.2 y voy apostear el log para que me ayuden. Mi problema es mas grave porque la laptop infectada no tiene lector de cd ni diskette sino solo puerto USB por lo que no he podido instalar un antivirus aun.

Ojala me puedas ayudar porque la laptop no es mia y tengo que entregarla pronto tal como me la dieron =(

Saludos
 
Estado
Cerrado para nuevas respuestas