DE NUEVO - BAGLE

ananda · Mensaje por **ananda** » 23 Jun 2008, 12:07

Aquí estoy de nuevo con el Anti-Virus diciéndome que detecta: Trojan-Downloader.Win32.Bagle.py

Le he pasado el ELIBAGLA recordándome de la otra vez que me pasó (ahhh tuvo tb. otro rebrote) y me extraña que este no lo haya detectado, así que me decido a ponerlo para ver que os parece y que debo hacer ahora. Gracias!

Mensaje por **lucl** » 23 Jun 2008, 14:13

Pues que te descargues el elibagla actualizado si no lo hiciste y nos pegues el log de infosat que tendras en C . Si ademas sabes que archivo es el infectado envianoslo para analizarlo saludos

http://www.zonavirus.com/descargas/elibagla.asp

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ananda · Mensaje por **ananda** » 23 Jun 2008, 15:45

Lo he vuelto a bajar y pasar.... Nada... el ...BAGLA no encuentra nada aunque yo noto el ordenador "extraño y lento" y Kapersky tb. encuentra el Bagle... Que hacemos?

Mensaje por **msc hotline sat** » 23 Jun 2008, 15:50

Cada día nos llegan nuevas muestras de Bgale que pasamos a controlar...

Envianos los ficheros en los que el Kaspersky te lo detecte y pasaremos a controlar esta nueva variante.

Para ello recuerda:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 23-06-2008

ananda · Mensaje por **ananda** » 23 Jun 2008, 16:50

Me aparece en una localización a la que a partir de un momento ya no accedo porque aparece dentro de varias carpetas y tras ira accediendo... me aparece una carpeta que no veo

Mensaje por **msc hotline sat** » 23 Jun 2008, 17:15

Mira que no esté oculta,

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

y en cualquier caso dinos la ruta, a ver si podemos ayudarte, no vaya a ser la del SYSTEM VOLUME INFORMATION_RESTORE ...

saludos

ms, 23-06-2008

ananda · Mensaje por **ananda** » 23 Jun 2008, 17:18

C://Documents and Settings/Ana/Application Data/m/shared/Dhaatu

Mensaje por **msc hotline sat** » 23 Jun 2008, 17:38

Pues si está dentro de esta ultima carpeta Dhaatu, no parece ser dificil de acceder...

Si no lo logras desde windows, abre una ventana al DOS y escribe:

CD\Documents and Settings\Ana\Application Data\m\shared\Dhaatu <enter>

luego

DIR <enter>

y si lo ves RELACIONADO, copialo a otra parte, por ejemplo :

copy <fichero.ext> c:\ <enter>

así lo tendrás en el directorio raiz, luego vuelve a windows y envianoslo

saludos

ms, 23-06-2008

ananda · Mensaje por **ananda** » 23 Jun 2008, 17:51

Pues, por DOS me está pasando lo mismo... no accedes al Application Data... como si no existiera

me dice que no puede hallar la ruta

ananda · Mensaje por **ananda** » 24 Jun 2008, 17:09

Os transcribo es resultado de DOS

aparece el tal DHAATU como 0 bytes

Directorio de c:\Documents and Settings\Ana\Application Data\m\shared

22/05/2008 11:41 <DIR> .

22/05/2008 11:41 <DIR> ..

21/05/2008 19:36 0 Dhaatu

1 archivos 0 bytes

2 dirs ............. bytes libres

C:\Documents and Settings\Ana\Application Data\m\shared>

ananda · Mensaje por **ananda** » 25 Jun 2008, 17:45

Sigo con el tema:

acabo de recibir el report tras horas porque ya lo he scaneado a fondo por si había algo más que el Bagle, pero sigue apareciendo único

KASPERSKY ONLINE SCANNER 7 REPORT

Wednesday, June 25, 2008

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Wednesday, June 25, 2008 08:53:51

Records in database: 881860

--------------------------------------------------------------------------------

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

Scan area - My Computer:

C:\

D:\

E:\

F:\

Scan statistics:

Files scanned: 220701

Threat name: 1

Infected objects: 1

Suspicious objects: 0

Duration of the scan: 03:55:06

File name / Threat name / Threats count

~~[b]~~C:\Documents and Settings\Ana\Application Data\m\shared\Dhaatu Infected: Trojan-Downloader.Win32.Bagle.py[/b] 1

The selected area was scanned.

Mensaje por **msc hotline sat** » 25 Jun 2008, 17:52

Pues a partir de las 19 h descargate el nuevo ELIBAGLA 11.52 DE HOY, y si no lo detecta y elimina, envianos muestra del que detecta el AV ONLINE:

File name / Threat name / Threats count

C:\Documents and Settings\Ana\Application Data\m\shared\Dhaatu Infected: Trojan-Downloader.Win32.Bagle.py 1

saludos

ms, 25-06-2008

ananda · Mensaje por **ananda** » 26 Jun 2008, 09:56

No lo detecta, os acabo de enviar la ruta como muestra.

Mensaje por **msc hotline sat** » 26 Jun 2008, 11:20

No se han recibido los ficheros que has enviado, posiblemente por no envarlos empaquetados con password con indicamos:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Repite el envio conforme se indica

saludos

ms, 26-06-2008

ananda · Mensaje por **ananda** » 26 Jun 2008, 11:46

Lo siento pero no sé como enviar un archivo que aparece con 0 bytes... lo trato por DOS y no lo reconoce...

Tengo la ruta pero una vez llego al ..........shared>dir

me sale el archivo con 0 bytes y al tratar un copy dhaatu.ext me dice que no puede hallar el archivo

Que otra forma tenemos de hacerlo?

Mensaje por **msc hotline sat** » 26 Jun 2008, 12:07

No, si el fichero tiene 0 bytes no sirve para nada ! no se moleste en enviarnoslo !!!

Pero no es comprensible que en un fichero de 0 bytes, el kaspersky ON LINE detecte un Bagle !!!

Mira de ir a la carpeta donde lo detecta y dinos si tienes otros ficheros, de qué tamaño y cuantos...

saludos

ms, 26-06-2008

ananda · Mensaje por **ananda** » 26 Jun 2008, 13:47

La carpeta tiene:

21 Mayo - 1 archivo DHAATU 0 bytes (que es el que reconoce el K)

y 2 <DIR> del 22 Mayo (a estos no si se puede acceder o no, ni como)

Mensaje por **msc hotline sat** » 27 Jun 2008, 13:12

Si no te sirven ni sabes lo que son, elimina estas carpetas con el FILE ASSASIN, KILLBOX o similar

http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp

saludos

ms, 27-06-2008

ananda · Mensaje por **ananda** » 27 Jun 2008, 15:40

Que lata! Agradezco que sigais el temita.

Le he pasado el KillBox y al ponerle toda la ruta y Delete me dice de nuevo como que no existe...

He pensado en pasar de nuevo el AV Online...

Por cierto, si accedo por Explorer... me dice que tengo que añadirle Java o algo así (que ya lo tengo)... en cambio por Firefox si lo descarga... :?

Os cuento el resultado cuando termine. Gracias

ananda · Mensaje por **ananda** » 27 Jun 2008, 16:13

Os informo que sigue el Bagle en ese mismo fichero "desconocido", "vacío" e "imborrable".... por el momento

Mensaje por **msc hotline sat** » 27 Jun 2008, 16:18

No creo que sea virus sino mas bien un resto de algun desmadre...

Pasa una comprobacion de errores y desfragmenta, igual con ello se han eliminado estos restos y ya no aparecen detecciones

Y nos informas de tus progresos al respecto, gracias

saludos

ms, 27-6-2008

DE NUEVO - BAGLE

DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE

Re: DE NUEVO - BAGLE