Win32.Bagle (SOLUCIONADO)

faroromano · Mensaje por **faroromano** » 03 Sep 2007, 11:16

Buenos dias

Mi antivirus me detecta varios archivos con Trojan-Downloader.Win32.Bagle, necesito ayuda para poder eliminarlos.

Gracias

Un saludo

Mensaje por **msc hotline sat** » 03 Sep 2007, 11:37

Pruebe con el ELIBAGLA, y si algun fichero que le detecte su antivirus no lo elimina con nuestra utilidad, envienos muestra para analizarlo:

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 3-09-2007

faroromano · Mensaje por **faroromano** » 03 Sep 2007, 11:46

Sun Sep 02 09:33:59 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Lector de documentos Doc de Windows"="MSNMGR.EXE"

Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"

Eliminada Class, "{147A976E-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Linea Eliminada del HOSTS --> # COMMENTED OUT 127.0.0.1 muser.messenger.hotmail.com

Linea Eliminada del HOSTS --> 127.0.0.1 05P.COM

Linea Eliminada del HOSTS --> 127.0.0.1 NEW.NET

Linea Eliminada del HOSTS --> 127.0.0.1 SLAWSEARCH.COM

Linea Eliminada del HOSTS --> 127.0.0.1 ADDICTIVETECHNOLOGIES.COM

Linea Eliminada del HOSTS --> 127.0.0.1 ADDICTIVETECHNOLOGIES.NET

Linea Eliminada del HOSTS --> 127.0.0.1 ADMIN2CASH.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 ALL4INTERNET.COM

Linea Eliminada del HOSTS --> 127.0.0.1 ARCHIVIOSEX.NET

Linea Eliminada del HOSTS --> 127.0.0.1 AWMDABEST.COM

Linea Eliminada del HOSTS --> 127.0.0.1 BETTERSEARCH.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 BLAZEFIND.COM

Linea Eliminada del HOSTS --> 127.0.0.1 C4TDOWNLOAD.COM

Linea Eliminada del HOSTS --> 127.0.0.1 CLICKSPRING.NET

Linea Eliminada del HOSTS --> 127.0.0.1 CRAZYWINNINGS.COM

Linea Eliminada del HOSTS --> 127.0.0.1 DEPOSITO.HOSTANCE.NET

Linea Eliminada del HOSTS --> 127.0.0.1 DIALER-SHOP.COM

Linea Eliminada del HOSTS --> 127.0.0.1 DIALOFF.COM

Linea Eliminada del HOSTS --> 127.0.0.1 EPEN.EU.COM

Linea Eliminada del HOSTS --> 127.0.0.1 F1ORGANIZER.COM

Linea Eliminada del HOSTS --> 127.0.0.1 FLINGSTONE.COM

Linea Eliminada del HOSTS --> 127.0.0.1 HOSTANCE.NET

Linea Eliminada del HOSTS --> 127.0.0.1 HPWIS.COM

Linea Eliminada del HOSTS --> 127.0.0.1 IFRAME.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 LINKAUTOMATICI.COM

Linea Eliminada del HOSTS --> 127.0.0.1 MASTER69.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 MASTER70.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 MASTER71.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 MCDIAL.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 MEDIA-MOTOR.NET

Linea Eliminada del HOSTS --> 127.0.0.1 MEGAPORNIX.COM

Linea Eliminada del HOSTS --> 127.0.0.1 MOVIEPLUGIN.COM

Linea Eliminada del HOSTS --> 127.0.0.1 MT-DOWNLOAD.COM

Linea Eliminada del HOSTS --> 127.0.0.1 MUSICMATCH.COM

Linea Eliminada del HOSTS --> 127.0.0.1 MY-INTERNET.INFO

Linea Eliminada del HOSTS --> 127.0.0.1 MY-TEENSEX.COM

Linea Eliminada del HOSTS --> 127.0.0.1 NET-NUCLEUS.COM

Linea Eliminada del HOSTS --> 127.0.0.1 NEWIFRAME.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 NY.CONTENTMATCH.NET

Linea Eliminada del HOSTS --> 127.0.0.1 OVERPRO.COM

Linea Eliminada del HOSTS --> 127.0.0.1 PENSIEROVIRTUALE.COM

Linea Eliminada del HOSTS --> 127.0.0.1 PIZDATO.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 PLUG.ADVCASH.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 PLUG.ADVCASH.COM

Linea Eliminada del HOSTS --> 127.0.0.1 POPUPPERS.COM

Linea Eliminada del HOSTS --> 127.0.0.1 PRIVATE-DIALER.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 PRIVATE-IFRAME.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 REALAREA.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 REDFUNNY.COM

Linea Eliminada del HOSTS --> 127.0.0.1 REVENUE.NET

Linea Eliminada del HOSTS --> 127.0.0.1 SCOOBIDOO.COM

Linea Eliminada del HOSTS --> 127.0.0.1 SEARCHBARCASH.COM

Linea Eliminada del HOSTS --> 127.0.0.1 SEARCHMIRACLE.COM

Linea Eliminada del HOSTS --> 127.0.0.1 SERVICE.SPYNET.COM

Linea Eliminada del HOSTS --> 127.0.0.1 SFONDISSIMI.NET

Linea Eliminada del HOSTS --> 127.0.0.1 SFONDITALIA.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 SGRUNT.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 SKOOBIDOO.COM

Linea Eliminada del HOSTS --> 127.0.0.1 SKYMASTERS.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 SLOTCH.COM

Linea Eliminada del HOSTS --> 127.0.0.1 SP2[CENSORED]ED.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 SP2ADMIN.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 SP2F**KED.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 STORAGE-TASP.COM

Linea Eliminada del HOSTS --> 127.0.0.1 TOPCONVERTING.COM

Linea Eliminada del HOSTS --> 127.0.0.1 TRAFFIC2CASH.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 VSE-MOE.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 WINDUPDATES.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.180SEARCHASSISTANT.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.ARCHIVIOSEX.NET

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.DIALER-SHOP.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.LINKAUTOMATICI.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.MASTER69.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.MASTER70.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.MASTER71.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.MY-TEENSEX.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.REALAREA.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.REDFUNNY.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.SEXVIDEOPRO.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.SFONDISSIMI.NET

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.SFONDITALIA.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.SGRUNT.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.SKYMASTERS.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.XBETA69.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.YEAK.NET

Linea Eliminada del HOSTS --> 127.0.0.1 XBETA69.COM

Linea Eliminada del HOSTS --> 127.0.0.1 XXXTOOLBAR.COM

Linea Eliminada del HOSTS --> 127.0.0.1 YEAK.NET

Linea Eliminada del HOSTS --> 127.0.0.1 YSBWEB.COM

Eliminados Ficheros Temporales del IE

Sun Sep 02 10:02:13 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\PC\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

Sun Sep 02 10:03:49 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Sep 02 10:07:11 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Sep 02 14:39:09 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\PC\DATOS DE PROGRAMA\M\FLEC006.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\PC\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Eliminada Carpeta "%WinDir%\exefld"

Sun Sep 02 14:40:12 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Sep 02 15:58:38 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%AppData%\M"

Sun Sep 02 15:58:57 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Sep 02 16:04:23 2007

EliTriIP v3.81 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Sep 02 16:04:27 2007

EliTriIP v3.81 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Archivos de programa\HP\Temp\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

Mon Sep 03 11:38:40 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Sep 03 11:38:59 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 03 Sep 2007, 12:30

Vemos que ya habias tenido Bagle...

Mira ahora si te arranca en modo seguro, pues igual tenias claves modificadas.

saludos

ms, 3-09-2007

faroromano · Mensaje por **faroromano** » 03 Sep 2007, 13:40

Arranco en modo seguro y no me deja abrir el antivirus, le he pasado el ad-aware y no me detecta nada

Mensaje por **msc hotline sat** » 03 Sep 2007, 14:06

Bueno, pero ya puedes arrancar en modo seguro !

Pues ahora arranca en modo seguro con funciones de red y lanza este ASV ONLINE:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

Si tienes virus, podras detectarlo y eliminarlo

saludos

ms, 3-09-2007

faroromano · Mensaje por **faroromano** » 03 Sep 2007, 15:04

He pasado el antivirus on-line como me decias y me salen estos dos archivos infectados

File Infection Status Path

hidr.exe Win32/Glieder.FW infected C:\WINDOWS\system32\drivers\

hidr.exe.ren Win32/Glieder.FW infected C:\WINDOWS\system32\drivers\

Que pasos he de seguir?

Mensaje por **msc hotline sat** » 03 Sep 2007, 15:23

Pues si todavía tienes estos ficheros o alguno de los dos, envianoslos para analizar:

C:\WINDOWS\system32\drivers\hidr.exe

C:\WINDOWS\system32\drivers\hidr.exe.ren

ya sabes:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 3-09-2007

Mensaje por **msc hotline sat** » 03 Sep 2007, 15:31

Y veo que el infosat pedia que enviaras una muestra:

"Por favor, envienos una muestra del fichero

C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.48 "

Si no lo has hecho, envianosla tambiem gracias

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 3-09-2007

faroromano · Mensaje por **faroromano** » 03 Sep 2007, 15:46

Ya elimine los ficheros y os he enviado todo lo que me decias, por cierto, al intentar cargar el archivo de la carpeta muestras me ha vuelto a saltar varias veces el antivirus, os envio tambien los archivos que me ha puesto en cuarentena

03/Sep/2007:15:40:10 FILE c:\documents and settings\pc\configuración local\datos de programa\identities\{a6cd9c3e-ccd4-4829-8c5b-6cff58709300}\microsoft\outlook express\bandeja de salida.dbx Email-Worm.Win32.Bagle.jo NONE

03/Sep/2007:15:40:10 FILE c:\documents and settings\pc\configuración local\datos de programa\identities\{a6cd9c3e-ccd4-4829-8c5b-6cff58709300}\microsoft\outlook express\bandeja de salida.dbx Email-Worm.Win32.Bagle.jo NONE

03/Sep/2007:15:40:10 FILE c:\documents and settings\pc\configuración local\datos de programa\identities\{a6cd9c3e-ccd4-4829-8c5b-6cff58709300}\microsoft\outlook express\bandeja de salida.dbx Email-Worm.Win32.Bagle.jo NONE

03/Sep/2007:15:40:10 FILE c:\documents and settings\pc\configuración local\datos de programa\identities\{a6cd9c3e-ccd4-4829-8c5b-6cff58709300}\microsoft\outlook express\bandeja de salida.dbx Email-Worm.Win32.Bagle.jo NONE

03/Sep/2007:15:40:42 FILE c:\muestras\flec006.exe.muestra elibagle v10.rar Email-Worm.Win32.Bagle.jo QUARANTINE

03/Sep/2007:15:40:42 FILE c:\muestras\flec006.exe.muestra elibagle v10.rar Email-Worm.Win32.Bagle.jo QUARANTINE

03/Sep/2007:15:41:08 FILE c:\muestras\nueva carpeta\flec006.exe.muestra elibagle v10.48 Email-Worm.Win32.Bagle.jo QUARANTINE

Mensaje por **msc hotline sat** » 03 Sep 2007, 18:21

Acabamos de subir nueva version de ELIBAGLA 10.49, pruebala

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 3-09-2007

faroromano · Mensaje por **faroromano** » 03 Sep 2007, 18:39

Sun Sep 02 09:33:59 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Lector de documentos Doc de Windows"="MSNMGR.EXE"

Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"

Eliminada Class, "{147A976E-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Linea Eliminada del HOSTS --> # COMMENTED OUT 127.0.0.1 muser.messenger.hotmail.com

Linea Eliminada del HOSTS --> 127.0.0.1 05P.COM

Linea Eliminada del HOSTS --> 127.0.0.1 NEW.NET

Linea Eliminada del HOSTS --> 127.0.0.1 SLAWSEARCH.COM

Linea Eliminada del HOSTS --> 127.0.0.1 ADDICTIVETECHNOLOGIES.COM

Linea Eliminada del HOSTS --> 127.0.0.1 ADDICTIVETECHNOLOGIES.NET

Linea Eliminada del HOSTS --> 127.0.0.1 ADMIN2CASH.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 ALL4INTERNET.COM

Linea Eliminada del HOSTS --> 127.0.0.1 ARCHIVIOSEX.NET

Linea Eliminada del HOSTS --> 127.0.0.1 AWMDABEST.COM

Linea Eliminada del HOSTS --> 127.0.0.1 BETTERSEARCH.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 BLAZEFIND.COM

Linea Eliminada del HOSTS --> 127.0.0.1 C4TDOWNLOAD.COM

Linea Eliminada del HOSTS --> 127.0.0.1 CLICKSPRING.NET

Linea Eliminada del HOSTS --> 127.0.0.1 CRAZYWINNINGS.COM

Linea Eliminada del HOSTS --> 127.0.0.1 DEPOSITO.HOSTANCE.NET

Linea Eliminada del HOSTS --> 127.0.0.1 DIALER-SHOP.COM

Linea Eliminada del HOSTS --> 127.0.0.1 DIALOFF.COM

Linea Eliminada del HOSTS --> 127.0.0.1 EPEN.EU.COM

Linea Eliminada del HOSTS --> 127.0.0.1 F1ORGANIZER.COM

Linea Eliminada del HOSTS --> 127.0.0.1 FLINGSTONE.COM

Linea Eliminada del HOSTS --> 127.0.0.1 HOSTANCE.NET

Linea Eliminada del HOSTS --> 127.0.0.1 HPWIS.COM

Linea Eliminada del HOSTS --> 127.0.0.1 IFRAME.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 LINKAUTOMATICI.COM

Linea Eliminada del HOSTS --> 127.0.0.1 MASTER69.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 MASTER70.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 MASTER71.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 MCDIAL.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 MEDIA-MOTOR.NET

Linea Eliminada del HOSTS --> 127.0.0.1 MEGAPORNIX.COM

Linea Eliminada del HOSTS --> 127.0.0.1 MOVIEPLUGIN.COM

Linea Eliminada del HOSTS --> 127.0.0.1 MT-DOWNLOAD.COM

Linea Eliminada del HOSTS --> 127.0.0.1 MUSICMATCH.COM

Linea Eliminada del HOSTS --> 127.0.0.1 MY-INTERNET.INFO

Linea Eliminada del HOSTS --> 127.0.0.1 MY-TEENSEX.COM

Linea Eliminada del HOSTS --> 127.0.0.1 NET-NUCLEUS.COM

Linea Eliminada del HOSTS --> 127.0.0.1 NEWIFRAME.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 NY.CONTENTMATCH.NET

Linea Eliminada del HOSTS --> 127.0.0.1 OVERPRO.COM

Linea Eliminada del HOSTS --> 127.0.0.1 PENSIEROVIRTUALE.COM

Linea Eliminada del HOSTS --> 127.0.0.1 PIZDATO.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 PLUG.ADVCASH.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 PLUG.ADVCASH.COM

Linea Eliminada del HOSTS --> 127.0.0.1 POPUPPERS.COM

Linea Eliminada del HOSTS --> 127.0.0.1 PRIVATE-DIALER.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 PRIVATE-IFRAME.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 REALAREA.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 REDFUNNY.COM

Linea Eliminada del HOSTS --> 127.0.0.1 REVENUE.NET

Linea Eliminada del HOSTS --> 127.0.0.1 SCOOBIDOO.COM

Linea Eliminada del HOSTS --> 127.0.0.1 SEARCHBARCASH.COM

Linea Eliminada del HOSTS --> 127.0.0.1 SEARCHMIRACLE.COM

Linea Eliminada del HOSTS --> 127.0.0.1 SERVICE.SPYNET.COM

Linea Eliminada del HOSTS --> 127.0.0.1 SFONDISSIMI.NET

Linea Eliminada del HOSTS --> 127.0.0.1 SFONDITALIA.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 SGRUNT.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 SKOOBIDOO.COM

Linea Eliminada del HOSTS --> 127.0.0.1 SKYMASTERS.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 SLOTCH.COM

Linea Eliminada del HOSTS --> 127.0.0.1 SP2[CENSORED]ED.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 SP2ADMIN.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 SP2F**KED.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 STORAGE-TASP.COM

Linea Eliminada del HOSTS --> 127.0.0.1 TOPCONVERTING.COM

Linea Eliminada del HOSTS --> 127.0.0.1 TRAFFIC2CASH.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 VSE-MOE.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 WINDUPDATES.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.180SEARCHASSISTANT.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.ARCHIVIOSEX.NET

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.DIALER-SHOP.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.LINKAUTOMATICI.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.MASTER69.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.MASTER70.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.MASTER71.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.MY-TEENSEX.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.REALAREA.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.REDFUNNY.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.SEXVIDEOPRO.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.SFONDISSIMI.NET

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.SFONDITALIA.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.SGRUNT.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.SKYMASTERS.BIZ

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.XBETA69.COM

Linea Eliminada del HOSTS --> 127.0.0.1 http://WWW.YEAK.NET

Linea Eliminada del HOSTS --> 127.0.0.1 XBETA69.COM

Linea Eliminada del HOSTS --> 127.0.0.1 XXXTOOLBAR.COM

Linea Eliminada del HOSTS --> 127.0.0.1 YEAK.NET

Linea Eliminada del HOSTS --> 127.0.0.1 YSBWEB.COM

Eliminados Ficheros Temporales del IE

Sun Sep 02 10:02:13 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\PC\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

Sun Sep 02 10:03:49 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Sep 02 10:07:11 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Sep 02 14:39:09 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\PC\DATOS DE PROGRAMA\M\FLEC006.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\PC\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Eliminada Carpeta "%WinDir%\exefld"

Sun Sep 02 14:40:12 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Sep 02 15:58:38 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%AppData%\M"

Sun Sep 02 15:58:57 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Sep 02 16:04:23 2007

EliTriIP v3.81 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Sep 02 16:04:27 2007

EliTriIP v3.81 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\Archivos de programa\HP\Temp\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

Mon Sep 03 11:38:40 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Sep 03 11:38:59 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Sep 03 13:42:32 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Sep 03 13:42:37 2007

EliBagle v10.48 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Sep 03 18:29:23 2007

EliBagle v10.49 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Sep 03 18:29:27 2007

EliBagle v10.49 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

faroromano · Mensaje por **faroromano** » 03 Sep 2007, 19:04

Otra cosa que acabo de observar. En la carpeta archivos de programas tengo una carpeta sospechosa con el nombre de " Bonjour " tiene dos archivos con los nombres "mDNSResponder.exe y mdnsNSP.dll

Puede que sea algo de eso? Gracias

Mensaje por **msc hotline sat** » 03 Sep 2007, 19:26

Pues no lo sé, envienos estos ficheros para analizar,

"En la carpeta archivos de programas tengo una carpeta sospechosa con el nombre de " Bonjour " tiene dos archivos con los nombres "mDNSResponder.exe y mdnsNSP.dll "

junto con este que le pedimos y que no está aun controlado por la 10-49 del ELIBAGLA, por lo que vemos:

"Por favor, envienos una muestra del fichero

C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.48 "

saludos

ms, 3-09-2007

Mensaje por **msc hotline sat** » 03 Sep 2007, 19:29

Recibida muestra de nuava variante de Bagle, pasamos a controlarala con la nueva version 10.49 del ELIBAGLA de hoy

saludos

ms, 3-09-2007

faroromano · Mensaje por **faroromano** » 03 Sep 2007, 19:35

Ya envie la muestra y los archivos

Gracias por el tiempo que le estais dedicando a esto

Un saludo

Mensaje por **msc hotline sat** » 03 Sep 2007, 19:51

Hoy hemos subido una nueva version del ELIBAGLA, y si aun no es la que lo controla (miralo) , mañana mas...

saludos

ms, 3-09-2007

faroromano · Mensaje por **faroromano** » 04 Sep 2007, 09:53

Buenos dias

La carpeta por la que te pregunte ayer he comprobado que es de un programa, Adobe CS3 y por lo demas, de momento sin mas problemas

Un saludo

Mensaje por **msc hotline sat** » 04 Sep 2007, 10:06

Enterados.

Y no sé de donde sacas tantas nuevas variantes de Bagle !!! Pasamos a controlar la última que nos has enviado con el ELIBAGLA 10.50 de hoy

saludos

ms, 4-09-2007

faroromano · Mensaje por **faroromano** » 04 Sep 2007, 15:36

[quote="msc hotline sat"]Enterados.

Y no sé de donde sacas tantas nuevas variantes de Bagle !!! Pasamos a controlar la última que nos has enviado con el ELIBAGLA 10.50 de hoy

saludos

ms, 4-09-2007[/quote]

Eso mismo me pregunto yo!! Debe ser un programa o alguna pagina web.

Por suerte hoy todo va bien asi que creo que se ha de cerrar el tema si te parece.

Un saludo

Mensaje por **msc hotline sat** » 04 Sep 2007, 16:15

De acuerdo, pero mañana baja el ELIBAGLA 10.50 y pruebala, pues le implementaremos el conmtrol de las muestras recibidas, para su eliminacion de la carpeta de muestras y demas

Y dando por solucionado el Tema, procedemos a cerrarlo

Cuando tengas mas Bagles :wink: ya sabes donde estamos

saludos

ms, 4-09-2007