Buenas, hace unos dias mi pc me hace unas cosas raras.
Por ejemplo, el utorrent en la subida, hace fluctuaciones: osea, sube a 70-40-20-0 y a l segundo 0-20-40-70..
Al intentar abrir algunos programas me pone q es una aplicacion win32 no valida. Estuve leyendo, y pense q era un bagle. Asi q pase el Elibagla, y mepo nia q tenia bagles, y me los elimino. Tb he pasado el elistara y el elitrip y el hast.COn el elistara segun esta escaneando el "C" me pone 6490 Cadenas viricas, pero luego no me encuentra ningun virus. Lo he hecho en el modo normal, mi duda es, tiene q ser en modo Seguro. Desactivo lo de restaurar sistema para ello? Gracias Pasare otra vez los tres programas cuando me digais si lo tngo q hacer en modo seguro y desactivado lo de restaurar sistema. Gracias
Virus bagle?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Virus bagle?
Si para empezar arrancas en modo seguro es preferible, aunque muchas veces no imprescindible, igual que desactivar la restauracion de sistema.
Con los antivirus es necesario, pero con nuestras utilidades ya detenemos el proceso virico si se permite, y si no preparamos un reinicio para completar su eliminacion , EL CUAL NO DEBE HACERSE NUNCA EN MODO SEGURO !!!, pues sino no lanzaria el RUNONCE programado
Y recuerda que debes postearnos el contenido del infosat.txt cuando pruebes estas utilidades de evaluacion
saludos
ms, 3-4-2008
Con los antivirus es necesario, pero con nuestras utilidades ya detenemos el proceso virico si se permite, y si no preparamos un reinicio para completar su eliminacion , EL CUAL NO DEBE HACERSE NUNCA EN MODO SEGURO !!!, pues sino no lanzaria el RUNONCE programado
Y recuerda que debes postearnos el contenido del infosat.txt cuando pruebes estas utilidades de evaluacion
saludos
ms, 3-4-2008
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Virus bagle?
Fri Dec 22 20:51:11 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WEB\RELATED.HTM --> Eliminado
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri Dec 22 21:36:07 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Samsung\PC Studio for SGH-Z500V\Sync ML Desktop Server\DEVICECUSTOMISATION.DLL --> Eliminado, ISTBar
C:\Archivos de programa\Spyware Doctor\tools\EG.DAT --> Eliminado, DownLoader
C:\Archivos de programa\Spyware Doctor\tools\KLG.DAT --> Eliminado, DownLoader
C:\Documents and Settings\Jesús\Escritorio\Programas\3GP_Converter034\3GP_Converter034\finishing\MESSAGEBOX.EXE --> Eliminado, PWS-WoW
C:\Documents and Settings\Jesús\Escritorio\Programas\3GP_Converter034\3GP_Converter034\finishing\SHUTDOWN.EXE --> Eliminado, PWS-WoW
Fri Dec 22 21:46:38 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminados Ficheros Temporales del IE
Fri Dec 22 21:49:05 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Spyware Doctor\tools\SWPG.DAT.VIR --> Eliminado, DownLoader
Tue Dec 26 23:37:12 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminados Ficheros Temporales del IE
Mon Mar 31 16:27:09 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.20
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Eliminada Carpeta "%WinDir%\exefld"
Mon Mar 31 16:28:56 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.20
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Mon Mar 31 16:38:20 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Mon Mar 31 16:38:27 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.20
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Mon Mar 31 16:41:18 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.20
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Mon Mar 31 16:41:46 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14796125.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\173419.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\176133.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\184104.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\184755.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\187079.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\202421.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\43998726.EXE --> Eliminado Bagle
Nº Total de Directorios: 4448
Nº Total de Ficheros: 55139
Nº de Ficheros Analizados: 11506
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados: 9
Wed Apr 02 14:53:03 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado
Entrada Eliminada [HKCU\...\Run] "RAQIBUGSOQ"="c:\documents and settings\jesús\configuración local\datos de programa\raqibugsoq.exe raqibugsoq"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed Apr 02 14:56:40 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus
Nº Total de Directorios: 3844
Nº Total de Ficheros: 49569
Nº de Ficheros Analizados: 15175
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Wed Apr 02 15:25:54 2008
EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Wed Apr 02 15:25:57 2008
EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1358
Nº Total de Ficheros: 16591
Nº de Ficheros Analizados: 2806
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.
Wed Apr 02 22:31:06 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Wed Apr 02 22:31:18 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 3850
Nº Total de Ficheros: 50908
Nº de Ficheros Analizados: 11404
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Wed Apr 02 22:53:10 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKCU\...\Run] "RAQIBUGSOQ"="c:\documents and settings\jesús\configuración local\datos de programa\raqibugsoq.exe raqibugsoq"
Wed Apr 02 22:53:56 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 3850
Nº Total de Ficheros: 50917
Nº de Ficheros Analizados: 15307
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Apr 03 00:34:12 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Thu Apr 03 00:34:27 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Thu Apr 03 00:34:28 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 14
Nº Total de Ficheros: 96
Nº de Ficheros Analizados: 73
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.
Thu Apr 03 00:42:11 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 3851
Nº Total de Ficheros: 51508
Nº de Ficheros Analizados: 15429
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Apr 03 01:08:44 2008
EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Thu Apr 03 01:08:47 2008
EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 3851
Nº Total de Ficheros: 51888
Nº de Ficheros Analizados: 14068
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
[b]Logfile of HijackThis v1.99.1[/b]
Scan saved at 10:43:13, on 03/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jesús\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [igndlm.exe] C:\Archivos de programa\Download Manager\DLM.exe /windowsstart /startifwork
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) -http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -http://chechu86.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) -http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) -http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) -http://chechu86.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WEB\RELATED.HTM --> Eliminado
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri Dec 22 21:36:07 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Samsung\PC Studio for SGH-Z500V\Sync ML Desktop Server\DEVICECUSTOMISATION.DLL --> Eliminado, ISTBar
C:\Archivos de programa\Spyware Doctor\tools\EG.DAT --> Eliminado, DownLoader
C:\Archivos de programa\Spyware Doctor\tools\KLG.DAT --> Eliminado, DownLoader
C:\Documents and Settings\Jesús\Escritorio\Programas\3GP_Converter034\3GP_Converter034\finishing\MESSAGEBOX.EXE --> Eliminado, PWS-WoW
C:\Documents and Settings\Jesús\Escritorio\Programas\3GP_Converter034\3GP_Converter034\finishing\SHUTDOWN.EXE --> Eliminado, PWS-WoW
Fri Dec 22 21:46:38 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminados Ficheros Temporales del IE
Fri Dec 22 21:49:05 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Spyware Doctor\tools\SWPG.DAT.VIR --> Eliminado, DownLoader
Tue Dec 26 23:37:12 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminados Ficheros Temporales del IE
Mon Mar 31 16:27:09 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.20
a "
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Eliminada Carpeta "%WinDir%\exefld"
Mon Mar 31 16:28:56 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.20
a "
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Mon Mar 31 16:38:20 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Mon Mar 31 16:38:27 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.20
a "
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Mon Mar 31 16:41:18 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.20
a "
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Mon Mar 31 16:41:46 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14796125.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\173419.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\176133.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\184104.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\184755.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\187079.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\202421.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\43998726.EXE --> Eliminado Bagle
Nº Total de Directorios: 4448
Nº Total de Ficheros: 55139
Nº de Ficheros Analizados: 11506
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados: 9
Wed Apr 02 14:53:03 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado
Entrada Eliminada [HKCU\...\Run] "RAQIBUGSOQ"="c:\documents and settings\jesús\configuración local\datos de programa\raqibugsoq.exe raqibugsoq"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed Apr 02 14:56:40 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus
Nº Total de Directorios: 3844
Nº Total de Ficheros: 49569
Nº de Ficheros Analizados: 15175
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Wed Apr 02 15:25:54 2008
EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Wed Apr 02 15:25:57 2008
EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1358
Nº Total de Ficheros: 16591
Nº de Ficheros Analizados: 2806
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.
Wed Apr 02 22:31:06 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Wed Apr 02 22:31:18 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 3850
Nº Total de Ficheros: 50908
Nº de Ficheros Analizados: 11404
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Wed Apr 02 22:53:10 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKCU\...\Run] "RAQIBUGSOQ"="c:\documents and settings\jesús\configuración local\datos de programa\raqibugsoq.exe raqibugsoq"
Wed Apr 02 22:53:56 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 3850
Nº Total de Ficheros: 50917
Nº de Ficheros Analizados: 15307
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Apr 03 00:34:12 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Thu Apr 03 00:34:27 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Thu Apr 03 00:34:28 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 14
Nº Total de Ficheros: 96
Nº de Ficheros Analizados: 73
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.
Thu Apr 03 00:42:11 2008
EliStartPage v15.95 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 3851
Nº Total de Ficheros: 51508
Nº de Ficheros Analizados: 15429
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Apr 03 01:08:44 2008
EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Thu Apr 03 01:08:47 2008
EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 3851
Nº Total de Ficheros: 51888
Nº de Ficheros Analizados: 14068
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Scan saved at 10:43:13, on 03/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jesús\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [igndlm.exe] C:\Archivos de programa\Download Manager\DLM.exe /windowsstart /startifwork
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) -
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Virus bagle?
Enviaste el fichero que se te pidió ??? :
Mon Mar 31 16:41:18 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.20
Si no lo has hecho todavía, hazlo como indicamos en:
[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
saludos
ms, 3-4-2008
Mon Mar 31 16:41:18 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.20
Si no lo has hecho todavía, hazlo como indicamos en:
saludos
ms, 3-4-2008
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Virus bagle?
Estoy pasando otra vez el Elibagla, xq he ido a C-muestras y no habia nada.
Postee solo los del elitrip, elistara HijackThis. Siempre q paso estos programas me pone un mensaje de error tipico:
no se puede acceder a la carpeta C:16462165461... muchos numeros. Le doy a aceptar, xq salen dos mensaje seguidos, y sigue la inspeccion.
[b]aqui esta el ultimo test de elibagla[/b]
Thu Apr 03 13:44:20 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Thu Apr 03 13:44:33 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 3855
Nº Total de Ficheros: 55639
Nº de Ficheros Analizados: 11409
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Postee solo los del elitrip, elistara HijackThis. Siempre q paso estos programas me pone un mensaje de error tipico:
no se puede acceder a la carpeta C:16462165461... muchos numeros. Le doy a aceptar, xq salen dos mensaje seguidos, y sigue la inspeccion.
Thu Apr 03 13:44:20 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Thu Apr 03 13:44:33 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 3855
Nº Total de Ficheros: 55639
Nº de Ficheros Analizados: 11409
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Re: Virus bagle?
Estaria bien que nos dijeras de que se carpetas se trata a las que tiene acceso denegado, prueba de nuevo y nos copias lo que te salga, saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Virus bagle?
A las carpetas protegidas no se accede y se informa, en este caso dice que "no se puede acceder a la carpeta C:16462165461... muchos numeros." , y en parte puede que sea por culpa del RootKit del Bagle.
Pero una vez lanzado por primera vez el ELIBAGLA, forzosamente en modo normal, ya que no deja arrancar en modo seguro, acto seguido puede probarse de arrancar en modo seguro, a lo que ya se podrá al haber restaurado la clave del SafeBoot, y volverlo a lanzar en este modo, como ya indicamos en:
https://foros.zonavirus.com/viewtopic.php?f=5&t=23824
y comentarnos si asi detecta algo mas
Y si no, dile adios a este bagle (pero no desesperes que v ienen muchos mas... )
saludos
ms, 3-4-2008
Pero una vez lanzado por primera vez el ELIBAGLA, forzosamente en modo normal, ya que no deja arrancar en modo seguro, acto seguido puede probarse de arrancar en modo seguro, a lo que ya se podrá al haber restaurado la clave del SafeBoot, y volverlo a lanzar en este modo, como ya indicamos en:
y comentarnos si asi detecta algo mas
Y si no, dile adios a este bagle (pero no desesperes que v ienen muchos mas... )
saludos
ms, 3-4-2008
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online