desactivados todos los elementos de proteccion

hannibal911 · Mensaje por **hannibal911** » 02 Feb 2008, 16:28

Buenas tardes, a ver si me explico, anoche se me apagó el ordenador, al reiniciar se me apago el antivirus el antyspyware, el centro de seguridad, las actualizaciones automaticas, el windefender de microsoft, bueno me quede sin defensas algunas es mas al intentar instalarlos de nuevo no me deja, el antivirus avg me lo he descargado otra vez y dice q no es una aplicacion valida, vuelvo a activar los servicios del xp de seguridad etc y me lo desactiva cuando reinicio. No me deja reiniciar en modo seguro ni tampoco me deja hacer un restore, por favor ayuda, estoy pasandole un antivirus de los q teneis online, el trendmicro a ver q pasa. es urgente

Mensaje por **lucl** » 02 Feb 2008, 16:36

Bien, pues pasa primero de todo el elibagle para descartar que sea un bagle pues es descartarlo primero por los inconvenientes que crea

http://www.zonavirus.com/descargas/elibagla.asp

luego nos pegas el log que te dejara en C infosat.txt

ademas este online te quitara los virus en caso de haberlos

https://www.virustotal.com/es/

nos comentas si te encontro algo, saludos

Mensaje por **msc hotline sat** » 02 Feb 2008, 18:59

Pero para pasar el antivirus ONLINE conviene que lo hagas arrancando en modo segur0 con funciones de red , tras pasar el ELIBAGLA, pues si tuvieras un Bagle no podrias hacerlo, dada la modificacion que hace al respecto en el registro de sistema

Sino lo haces asi, windows no permite eliminar los ficheros que estan en uso, y al parecer tienes uno virico galopando..., posiblemente un Bagle, como muy bien apunta lucl.

saludos

ms, 2-2-2008

hannibal911 · Mensaje por **hannibal911** » 02 Feb 2008, 19:06

Sat Feb 02 18:49:09 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Feb 02 19:03:57 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Sat Feb 02 19:04:17 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Sat Feb 02 19:04:43 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 02 Feb 2008, 19:17

Pues debe tratarse de una variante "rebelde".

Envianos la muestra que se te pide:

Por favor, envienos una muestra del fichero

~~[b]~~[i]C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.96 [/i][/b]

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Y por otro lado prueba si puedes tras ello arrancar en modo segur0 y lanzar asi dicha utilidad (al pasar primero el ELIBAGLA restaurara la clave y es posible que te permita arrancar en dicho modo)

saludos

ms, 2-2-2008

hannibal911 · Mensaje por **hannibal911** » 02 Feb 2008, 19:27

Bueno enviado, he podido arrancar en modo seguro, paso el hjt? o el antivirus online?

Mensaje por **msc hotline sat** » 02 Feb 2008, 19:33

NO, en modo seguro pasa el ELIBAGLA de nuevo.

y nos posteas el nuevo infosat.txt

sañludos

ms, 2-2-2008

hannibal911 · Mensaje por **hannibal911** » 02 Feb 2008, 19:39

Sat Feb 02 18:49:09 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Feb 02 19:03:57 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Sat Feb 02 19:04:17 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Sat Feb 02 19:04:43 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5311

Nº Total de Ficheros: 75602

Nº de Ficheros Analizados: 10660

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Sat Feb 02 19:30:35 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

Sat Feb 02 19:30:44 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\102125.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\57793656.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\57818796.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\72333484.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\75062.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\83437.EXE --> Eliminado Bagle

Nº Total de Directorios: 5350

Nº Total de Ficheros: 76831

Nº de Ficheros Analizados: 10671

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7

hannibal911 · Mensaje por **hannibal911** » 02 Feb 2008, 19:50

paso ya el antivirus online? pq estoy a pelo... navegando sin nada, bueno solo estoy en vuesta pagina.

Mensaje por **msc hotline sat** » 02 Feb 2008, 20:12

No, lo que tienes que hacer es enviarnos esta muestra para analizar, pues se trata de una nueva variante:

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.96

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

luego pasa el AV ONLINE pero no antes de enviarnos la muestra, no sea que nos la elimine y nos quedemos sin saber las claves a restaurar, ya que vemos que se comporta diferente de lo conocido.

saludos

ms, 2-2-2008

hannibal911 · Mensaje por **hannibal911** » 02 Feb 2008, 20:33

bueno enviado la muestra `por correo email, la he encriptado en un rar con contraseña virus, bueno procedo a limpiar con el online, en cuanto a los servicios deshabilitados, como el centro de seguridad etc... los reactivo o q? muchisimas gracias por todo

hannibal911 · Mensaje por **hannibal911** » 02 Feb 2008, 20:38

el enlace me manda a una pagina, instalo el control activex y luego no consigue descargar las definiciones, procedo a usar el symantec y otro mas de la lista q tiene ustedes ok?

Mensaje por **msc hotline sat** » 02 Feb 2008, 20:48

Usa el que quieras, pero igual alguno solo testea, no elimina, (McAfee, Kaspersky)

Pero lo que interesa es saber si tienes aun algo, aunque entiendo que ya no tienes virus.

Y el antivirus que tuvieras habrá quedado tocado, deberás eliminar los restos e instalarlo de nuevo.

Y YA ME VOY. SUERTE Y HASTA MAÑANA SI DIOS QUIERE

saludos

ms, 2-2-2008

Mensaje por **msc hotline sat** » 04 Feb 2008, 13:31

Recibidas las muestras enviadas, son nuevas variantes del Bagle, que pasamos a controlar con la version de hoy del ELIBAGLA, que estará disponible en esta web, para pruebas de evaluaicon en el foro de zonavirus. a partir de las 19 h:

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 4-2-2008

desactivados todos los elementos de proteccion

desactivados todos los elementos de proteccion

lo q me ha puesto el programita, ahora paso el antivirus

enviado

este es el ultimo log al pasar la herramienta en mod. seguro

a proposito...

listo!!

no puedo usar el av online q me pusieron antes