Virus detectado: Trojan.Win32.Pakes. y otros (SOLUCIONADO)

[Nod7]

Holas



Acabo de salir de unos problemas ocasionados por el/los Bagle

(ver post: No puedo abrir Panda ni CCleaner (?) (SOLUCIONADO) )



Después de todo ello ejecuto el Kaspersky scanner OnLine, y desafortunadamente, quedan algunos indeseables en mi pc.

Este es el informe :



KASPERSKY ONLINE SCANNER INFORMEKASPERSKY ONLINE SCANNER INFORME

martes, 01 de abril de 2008 19:47:59

Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2

(Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 1/04/2008

Registros en la base antivirus: 607003





Configuración del análisis

Analizar usando las siguientes basesstandard

Analizar archivosverdadero

Analizar bases de correoverdadero



Objetivo a analizarÁreas críticas

C:\WINDOWS

C:\DOCUME~1\GABRIEL\CONFIG~1\Temp\



Estadísticas

Número de objeros analizados21440

Virus encontrados3

Objetos infectados16 / 0

Objetos sospechosos0

Duración del análisis00:12:18



Bombre del objeto infectadoNombre del virusÚltima acción

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Object is locked

saltado



C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Object is locked

saltado



C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Object is locked

saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked

saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\drivers\atapi.sys Object is locked saltado



C:\WINDOWS\system32\drivers\down\1046234.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\105640.exe Infectados:

Trojan.Win32.Pakes.bwy saltado



C:\WINDOWS\system32\drivers\down\115328.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\117156.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\120156.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\1349750.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\14709328.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\15921468.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\29266250.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\30598343.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\64828.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\73843.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\76593.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\78421.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\80328.exe Infectados:

Trojan.Win32.Pakes.ciw saltado



C:\WINDOWS\system32\drivers\down\91484.exe Infectados:

Email-Worm.Win32.Bagle.sz saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked

saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked

saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked

saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked

saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked

saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



C:\DOCUME~1\GABRIEL\CONFIG~1\Temp\~DF574B.tmp Object is locked saltado



C:\DOCUME~1\GABRIEL\CONFIG~1\Temp\~WRF0000.tmp Object is locked saltado



C:\DOCUME~1\GABRIEL\CONFIG~1\Temp\~WRS0001.tmp Object is locked saltado



Análisis completado.



*



Gracias y saludos

[lucl]

Envianos los archivos corruptos para su analisis, y renombralos a .VIR , al quitarle el exe y ponerle .VIR no se pondran en marcha en el proximo reinicio, saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[Nod7]

Hola



Bien, le remito estos dos ficheros detectados por el Kaspersky Scanner-Online ,a las 22:20



C:\WINDOWS\system32\drivers\down\1046234.exe Infectados: Trojan.Win32.Pakes.ciw saltado

C:\WINDOWS\system32\drivers\down\91484.exe Infectados: Email-Worm.Win32.Bagle.sz saltado



decir que una vez renombrados para su envío, paso de nuevo el Scanner OnLine, (23:00 hrs) y por supuesto, los sigue detectando,con la nueva extensión:



C:\WINDOWS\system32\drivers\down\1046234.vir Infectados: Trojan.Win32.Pakes.ciw saltado

C:\WINDOWS\system32\drivers\down\91484.vir Infectados: Email-Worm.Win32.Bagle.sz saltado



Sin embargo el Panda no los detecta. ?¿



Gracias y saludos

[msc hotline sat]

Tranquilo que al estar renombrados ya no entran en uso, por lo que no van a afectarte, pero cuando recibamos las muestras, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 2.04.2008

[msc hotline sat]

Analizadas las muestras, el de 47 KB resulta ser una nueva variante de Bagle que pasamos a controlar con el ELIBAGLA 11,21 de hoy y el grande de mas de 400 KB es un fichero corrupto (indica no ser una aplicacion win32 valida al ejecutarlo) con restos de empaquetamiento con Themida, que podría ser un resto de virus, por lo que tras haberlo renombrado ahora puede borrarlo



El otro mejor lo elimine con el ELIBAGLA indicado



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 2-04-2008

[Nod7]

Hola



He seguido las indicaciones, y efectivamente ha detectado y eliminado el archivo.

Este es el informe del EliBagle:



Wed Apr 02 20:19:19 2008

EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Apr 02 20:19:42 2008

EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Apr 02 20:19:44 2008

EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\drivers\down\91484.VIR --> Eliminado Bagle



Nº Total de Directorios: 7000

Nº Total de Ficheros: 65790

Nº de Ficheros Analizados: 8984

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



*

(El otro ya lo borré)



Por tanto, (toco madera), creo estar totalmente limpio, gracias a vuestro soporte.



Una última cosa, tengo el C:\ un montón de archivos con extensión .sqm (del tipo: sqmdata07.sqm), creo haber leído en otro post que se pueden borrar ¿es así?



Gracias nuevamente por su valiosa ayuda

slds

Gabriel

[msc hotline sat]

Los *.SQM son archivos que genera el messenger live.



Para solucionalo, borrar esos archivos, y en el messenger, y desactivar lo de "programa para la mejora de la experiencia del usuario" que viene activado por defecto.



y efectivamente, se eliminó su Bagle, y el otro fichero corrupto espero que lo eliminí manualmente.



Pues con ello, damos por solucionado el Tema, y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 3-4-2008