25 archivos infectados por beagle

soyelotro · Mensaje por **soyelotro** » 01 Feb 2008, 15:27

con fecha día 30 de enero pasé la utilidad baglia recomendada por vosotros y los resultados me daban que el virus beagle estaba eliminado y que ya podía proceder a instalar y ejecutar el antivirus permanente en mi pc. deacuerdo con lo que me dijísteis procedí a ello y efectivamente no hubo ningún problema,salvo que hoy día 1 de febrero he hecho un escaner con mi antivirus ,Avast Home Antivirus Free Edition 4.7.1098 y me sale que tengo 25 archivos infectados con virus.Unos dan : Virus32:Beagle-YN(Wrm)

Virus32:Beagle-ZW(Wrm)

Virus32:Beagle-ZL(Trj)este sólo me da un archivo

Todos los archivos los tengo localizados en:

C:\WINDOWS\System32\drivers\down

Menos uno que está localizado en:

C:\System Volume information\-restore{C13F74DB-89F1-4027-BAD6-7A3730D4A2BC}\RP130

los 25 archivos los he mandado al baúl de mi antivirus pero ahora no se como proceder.¿Podríais ayudarme? Como vereis soy novato y necesito que me guieis en los pasos a dar.

Gracias

Mensaje por **flacoroo** » 01 Feb 2008, 16:52

bajate de nuevo la utilidad elibagla y la pasas en modo seguro y nos pegas lo que se crea en c:infosat.txt

Mensaje por **msc hotline sat** » 01 Feb 2008, 18:13

De Bagles hay cada dia nuevas variantes, por ello lo adecuado es, como indica flacoroo, descargar la actual version 10.96 y probarla:

[quote]ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Y con el ELIBAGLA de hoy ya controlamos todos los conocidos y pedimos muestra de los sospechosos, para pasarlos a controlar en la proxima version.

En el INFOSAT.TXT veremos el resultado del proceso y obraremos en consecuencia

saludos

ms, 1-2-2008

soyelotro · Mensaje por **soyelotro** » 01 Feb 2008, 18:22

he detenido mi antivirus, he reiniciado en modo seguro y le he pasado Elibaglia. He vuelto a reiniciar normalmente y en C:\infosat:txt me sale:

Fri Feb 01 18:07:32 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%AppData%\M"

Fri Feb 01 18:07:45 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Acto seguido he vuelto a conectar mi antivirus. Espero el siguiente paso a realizar

Mensaje por **msc hotline sat** » 01 Feb 2008, 18:31

Pues no tiene ningun Bagle activo ni sospechoso.

Claro, si utilizó un antivirus que le movió los sospechosos al baul, y posiblemente los encriptó, allí se quedaran hasta que el mismo los conozca y los elimine.

Así que periodicamente, tras actualizar su antivirus, desactive la restauracion de sistema, arranque en modo segur0 y lance su antivirus a ver si se lo elimina.

Con nuestra utilidad hubiera sido mas sencillo, no hubiera necesitado arrancar en modo seguro ni desactivar la restauracion ..., pero si utilizó otra cosa... aunque ya si no utiliza la restauracion de sistema, estos bagles ya están a buen recaudo.

No se olvide de finalmente volver a activar la restauracion de sistema para ir creando puntos de restauracion-.

saludos

ms, 1-2-2008

soyelotro · Mensaje por **soyelotro** » 01 Feb 2008, 18:42

yo usé su utilidad y me daba que ya estaba limpio del beagle. Despues me bajé de internet el antivirus avast y al lanzarlo me da infectado y es cuando me he vuelto a poner en contacto con ustedes pero yo seguí los pasos que ustedes me indicaron y el hecho está en que me he podido descargar y ejecutar un antivirus cosa que antes no podía

soyelotro · Mensaje por **soyelotro** » 01 Feb 2008, 18:48

[quote="soyelotro"]yo usé su utilidad y me daba que ya estaba limpio del beagle. Despues me bajé de internet el antivirus avast y al lanzarlo me da infectado y es cuando me he vuelto a poner en contacto con ustedes pero yo seguí los pasos que ustedes me indicaron y el hecho está en que me he podido descargar y ejecutar un antivirus cosa que antes no podía[/quote] ahora mi antivirus me avisa constantemente de que DCOM exploit bloqueado.ataque de 85.87.78.....\tcp y no se que quiere decir esto ni que debo de hacer

Mensaje por **msc hotline sat** » 01 Feb 2008, 18:59

Dices: "~~[b]~~[i]yo usé su utilidad y me daba que ya estaba limpio del beagle[/i][/b]"

Mira todo el infosat.txt y verás como te pediamos muestras para analizar, las cuales no enviaste..., ni posteaste dicho informe, como se pide al ser una utilidad de evaluacion:

[quote]ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

El ELIBAGLA, como el ELISTARA, ELITRIIP, y las que proceda, se renuevan casi cada día y se ha de probar siempre las ultimas disponibles en esta web, y postear el informe de salida correspondiente.

De todas formas no hiciste nada mal, solo que ahora debes ponerte en manos de lo que utilizaste, pues el AVAST tiene otra tecnica y posiblemente encriptó los ficheros que puso en cuarentena para que ya no fueran detectados por otros, por lo que debes usarlo como se ha indicado.

Y lo que dices sobre que "~~[b]~~[i]ahora mi antivirus me avisa constantemente de que DCOM exploit bloqueado.ataque de 85.87.78.....\tcp[/i][/b]" parece que detecta un intento de intrusión por los ports del RPCDCOM (TCP 135-139) tipicos de Blaster de antaño, y que tantos virus han usado para intrusionar, pero que deberías tener parcheados simplemente con los parches de microsoft, aparte de algun cortafuegos que uses, aunque sea el zonealarm o el propio del XP, pero lo primero es lo primero, lanza un windowsupdate y si te detecta que falta algun parche, instalalo !

WINDOWSUPDATE:

https://support.microsoft.com/es-es/help/12373/windows-update-faq

cuentanos el resultado, gracias

saludos

ms, 1-2-2008