Bagle resistente a ELIBAGLA 13.48 (SOLUCIONADO)

[GRN]

Hola:



Ayer, después de verificar un fichero con VirusScan 8.x, motor 5400, Librería ¿586X? (no recuerdo la unidad) sin que me detectara nada sospechoso, lo ejecuté y el resultado es que se me infectó el ordenador con (según ActiveScan 2.0):



Rootkit/Bagle.UV

C:\windows\sistem32\srosa2.sys



W32/Bagle.RC.worm

C:\windows\wintems.exe

C:\documents and settings\[nombre]\datos de programa\m\flec006.exe



Generic Trojan



y como sospechosos:



C:\archivos de programa\google\google talk\googletalk.exe

C:\documents and settings\[nombre]\datos de programa\drivers\winupgro.exe



Usé la herramienta de desinfección gratuita pero no funcionó.



Buscando en internet llegué a este foro y me enteré de la existencia del programa ELIBAGLA. Me descargué la versión 13.48 y lo ejecuté pero el problema persiste. Los síntomas, los ya conocidos:



Antivirus desactivado.

CCleaner se cierra solo.

SuperAntySpyware desactivado

Fichero winupgro inaccesible.......



Esta tarde lo he intentado con el programa Stinger de McAfee, que no ha encontrado nada y con McAfee Rootkit Detective Beta que el gusano deja fuera de servicio: "No es una aplicación válida W32".



¿Podríais echarme una mano?.



(Os envío el log y los ficheros guardados en "c:\Muestra" en un zip sin clave; Muestras.zip )



Gracias por vuestro tiempo.

[GRN]

¡Perdón!



Lógicamente quise decir Bagle resistente a ELIBAGLA 13.48 :oops:

[msc hotline sat]

Está bien que hayas enviado las muestras para analizar, simplemente será una variante de las que cada día recibimos bastantes, y mañana la analizaremos e implementaremos su control y eliminacion en la siguiente version del ELIBAGLA, de lo cual informaremos



Y no te olvides de marcar la casilla de mirar los zip, que si tienes alguno, seguro que dentro te habrá escondido un "regalito" para que te volvieras a infectar en el futuro.



Pero ello hazlo con la 13.49 que hagamos mañana cuando controlemos tu variante.



saludos



ms, 26-1-2010

[GRN]

[quote="msc hotline sat"]Está bien que hayas enviado las muestras para analizar, simplemente será una variante de las que cada día recibimos bastantes, y mañana la analizaremos e implementaremos su control y eliminacion en la siguiente version del ELIBAGLA, de lo cual informaremos



Y no te olvides de marcar la casilla de mirar los zip, que si tienes alguno, seguro que dentro te habrá escondido un "regalito" para que te volvieras a infectar en el futuro.



Pero ello hazlo con la 13.49 que hagamos mañana cuando controlemos tu variante.



saludos



ms, 26-1-2010[/quote]

¡Muchas gracias, quedo a la espera!



(Se logre resolver, o no, cuando se está con el agobio de un problema que le desborda a uno, se agradece muchisimo vuestra amabilidad (que he visto en otras entradas del foro), y vuestra rapidez, de la que deberían de aprender otros SAT que cobran mucho más por mucho menos :D )

[msc hotline sat]

Es que zonavirus es mas que un foro ... :roll: :mrgreen: , podríamos decir que es un Club de sufridores de Internet :lol:



Espero que hoy se recibirán tus muestras, las cuales pasaremos a controlar e informaremos



saludos



ms, 27-1-2010

[GRN]

[quote="msc hotline sat"]Es que zonavirus es mas que un foro ... :roll: :mrgreen: , podríamos decir que es un Club de sufridores de Internet :lol:



Espero que hoy se recibirán tus muestras, las cuales pasaremos a controlar e informaremos



saludos



ms, 27-1-2010[/quote]

¿Pero no las tienes ya?



Lo pregunto porque las "subi" ayer..... ¡o al menos creí haberlo hecho! :?

(Afortunadamente no me paso el día infectado :lol:

[msc hotline sat]

SI solo fuera tu correo...



Se reciben mas de 1000 mails diarios y se tienen que filtrar, clasificar, resolver y contestar... , aparte de las llamadas hotline, (tenemos 8 lineas de telefono), visitas, trabajos de I+D, y de otras indoles como mantenimiento de nuestras webs, actualizaciones de productos, etc etc !



Ahora iba a decirte que pasabamos a controlar tus muestras con la version de hoy del ELIBAGLA 13.49


[quote]
[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 27-1-2010

[GRN]

[quote="msc hotline sat"]SI solo fuera tu correo...



Se reciben mas de 1000 mails diarios y se tienen que filtrar, clasificar, resolver y contestar... , aparte de las llamadas hotline, (tenemos 8 lineas de telefono), visitas, trabajos de I+D, y de otras indoles como mantenimiento de nuestras webs, actualizaciones de productos, etc etc !



Ahora iba a decirte que pasabamos a controlar tus muestras con la version de hoy del ELIBAGLA 13.49


[quote]
[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 27-1-2010[/quote]

Disculpa una pregunta tonta (me acabo de registrar y no sé como va esto): ¿qué he de hacer para bajarmela?, ¿enviar de nuevo un SMS?, ¿es gratis por ser de evaluación?, ¿es gratis por ser actualización de descarga previa?, ..... ¡en fin, no busco un gratis total, solo saber!



Gracias.

[msc hotline sat]

Nuestras utilidades son para uso de los asociados a los servicios tecnicos de SATINFO, tienen Copyright y no son freeware, pero se permiten probar en este foro en concepto de evaluacion, siendo necesario el envio de 1 SMS en cada descarga, para mantenimiento de este foro, pero con ello no se paga nada de dicha utilidad.



Si te interesara, hay un contrato de low cost de actualizaciones por 1 año de las 30 utilidades principales, lo cual se puede adquirir ONLINE a distribuidores, por ejemplo a http://dsav.net/descargas.php podrías disponer de ellas siempre actualizadas durante dicho periodo.



Lo mismo pero al doble de coste permite acceso a las 300 utilidades, servicio hotline con SATINFO, además de envio de mails de informacion y demás ...



Pero para probarla simplemente la descargas de este foro como se indica al principio y verás como te lo detecta y elimina, restaurando claves y demás, como la restauracion del SAFEBOOT, para permitir arrancar en modo seguro, que el Bagle impide.



Lo que debes tener en cuenta es que los Bagle dañan al antivirus, que tendrás que desinstalar e instalar de nuevo, asi como algunas aplicaciones que te darán "NO ES UNA APLICACION WIN32 VALIDA"



Y recuerda lo del "regalito" que tuvieras dentro de los ZIP...



Y nos cuentas el resultado, gracias



saludos



ms, 27-1-2010

[GRN]

[quote="msc hotline sat"]SI solo fuera tu correo...



Se reciben mas de 1000 mails diarios y se tienen que filtrar, clasificar, resolver y contestar... , aparte de las llamadas hotline, (tenemos 8 lineas de telefono), visitas, trabajos de I+D, y de otras indoles como mantenimiento de nuestras webs, actualizaciones de productos, etc etc !



Ahora iba a decirte que pasabamos a controlar tus muestras con la version de hoy del ELIBAGLA 13.49


[quote]
[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 27-1-2010[/quote]

Hola.



Espero no resultar pesado. :roll:



Supongo que no os habrá dado tiempo a poneros con esta variante del virus, porque en el link me lleva a la descarga de la v48 y no he visto noticias de una v49.



¿O acaso tengo que mirar en otro sitio?



Gracias :)

[msc hotline sat]

Efectivamente, se han subido el ELISTARA 20.21 y el ELIBAGLA 13.50:



https://foros.zonavirus.com/viewtopic.php?f=11&t=31040



Voy a ver lo que puede descargarse y te informo a continuacion:



Cierto, hay el de dos versiones anteriores. Voy a ver si contacto con ADMIN, a ver si ha ido a parar a otro sitio...



Te informaré aqui mismo cuando esté disponible...



. . .



Pues lo siento pero ADMIN no está disponible



Le he dejado un privado, espero que lo vea y lo corrija, sino lo haré desde el trabajo mañana por la mañana.



Pero sí, hemos monitorizado tus muestras e implementado su control y eliminacion con la 13.50 indicada... Igual Admin lo puede arreglar esta noche... ???



saludos



ms, 28.-1-2010

[pedro08]

Hola, soy nuevo yo también en este foro.



Les he enviado las 2 muestras de Bagle como pone al ejecutar EliBaglA.exe La versión que me descargué hace unas horas era la 13.48 y la verdad que no me funciona. Tengo el Avast y está inutilizado (ni siquiera puedo desinstalarlo). He corrido EliBaglA 13.48 varias veces y reiniciado (incluso en modo seguro, que conseguí que me dejara entrar a la 2ª vez) pero nada de nada. Me sigue detectando el mismo número de archivos infectados y limpiados.



Con la esperanza de que puedan ayudarme (es un virus insufrible!!) me gustaría saber qué versión será la que me tenga que descargar, cuando estará y qué procedimiento hay que seguir para hacerlo bien porque ya no sé cómo será mejor (internet desconectado?, cuántas veces hay que correr EliBagla?, reiniciar tras cada pasada?...)



Muchas gracias de antemano.

[msc hotline sat]

A ver Pedro08, abre un Tema para tu caso y posteanos alli el infosat.txt correspondiente a la prueba que has hecho del ELIBAGLA.



Si ducha version pedía muestras, tras analizarlas se implmentará su control y eliminacion en la proxima, pero eso lo veremos en el infosat y en TU TEMA.



saludos



ms, 29-1-2010

[msc hotline sat]

Bueno GRN, de nuevo contigo !



Efectivamente, ADMIN apareció mas tarde y arregló el servidor de descargas, asi que ya puedes descargar la 13.50 del ELIBAGLA que ha de solucionar tu caso, pues está contemplada eliminación de las muestras que nos enviaste.



Tras descargarla y probarla, cuentanos el resultado, gracias



saludos



ms, 29-1-2010

[GRN]

[quote="msc hotline sat"]Efectivamente, se han subido el ELISTARA 20.21 y el ELIBAGLA 13.50:



https://foros.zonavirus.com/viewtopic.php?f=11&t=31040



Voy a ver lo que puede descargarse y te informo a continuacion:



Cierto, hay el de dos versiones anteriores. Voy a ver si contacto con ADMIN, a ver si ha ido a parar a otro sitio...



Te informaré aqui mismo cuando esté disponible...



. . .



Pues lo siento pero ADMIN no está disponible



Le he dejado un privado, espero que lo vea y lo corrija, sino lo haré desde el trabajo mañana por la mañana.



Pero sí, hemos monitorizado tus muestras e implementado su control y eliminacion con la 13.50 indicada... Igual Admin lo puede arreglar esta noche... ???



saludos



ms, 28.-1-2010[/quote]

Buenos días.



Lamento comunicar que la nueva versión tampoco ha podido con el gusano. :(



Os subo el log generado. No hay ficheros en el subdirectorio C:\Muestras.



Supongo que es irrelevante, pero el escaneo se me detiene 3 veces indicando acceso denegado:



(1) c:\Documents and settings\[USUARIO_1]\Configuración local\Temp\Datos de programa\Microsoft\CardSpace (8210)



(2) c:\Documents and settings\[USUARIO_2]\Configuración local\Temp\WPDNSE\Archs.recib. (16)



(3) c:\Documents and settings\[USUARIO_2]\Configuración local\Temp\WPDNSE\Lau.. (16)



Al final, tras reiniciar, me vuelve a indicar "detectado gusano bagle" y yo constato que el maldito winupgro.exe sigue estando presente.



Quedo a la espera de vuestras noticias. :roll:

[msc hotline sat]

Debes postearnos el contenido del C:\infosat.txt ...



y además lee esto:



https://foros.zonavirus.com/viewtopic.php?f=5&t=23824



saludos



ms, 29-1-2010

[msc hotline sat]

Me dicen los de I+D que has enviado un infosat.txt ...



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



lo he recuperado esta vez (ya lo habian eliminado , pues al no ser cleinte de SATINFO no se examinan), PERO HE PODIDO RECUPERARLO...



los informes deben postearse en el foro !!! (solo las muestras deben enviarse por email)


[quote] (25-1-2010 22:55:18)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\SROSA2.SYS --> Eliminado Bagle(rootkit)

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\131390.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\DOWNLD\131390.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\137046.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\DOWNLD\137046.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\DOWNLD\145703.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\DOWNLD\150781.EXE --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(25-1-2010 22:59:1)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(25-1-2010 22:59:52)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 16220

Nº Total de Ficheros: 158457

Nº de Ficheros Analizados: 20738

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(25-1-2010 23:15:4)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Reinicie para Completar la Limpieza.



(25-1-2010 23:17:9)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.



(26-1-2010 19:3:49)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\SROSA2.SYS --> Eliminado Bagle(rootkit)

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(26-1-2010 19:6:27)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.



(26-1-2010 19:6:49)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18278

Nº Total de Ficheros: 213353

Nº de Ficheros Analizados: 22155

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(29-1-2010 8:1:15)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle dldr Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.



(29-1-2010 8:1:29)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\131390.EXE.MUESTRA ELIBAGLE V13.48 --> Eliminado Bagle(drzip)

C:\Muestras\137046.EXE.MUESTRA ELIBAGLE V13.48 --> Eliminado Bagle

C:\Muestras\WINUPGRO.EXE.MUESTRA ELIBAGLE V13.48 --> Eliminado Bagle dldr



Nº Total de Directorios: 18270

Nº Total de Ficheros: 212414

Nº de Ficheros Analizados: 22189

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



(29-1-2010 9:8:58)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle dldr Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.



(29-1-2010 9:9:45)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18270

Nº Total de Ficheros: 212410

Nº de Ficheros Analizados: 22186

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/quote]

BIen , ya usas la 13.50 que es la que controla "tu" Bagle...



Es uno de los típicos Bagles "resistentes"...



Una vez lanzado el Elibagla por accion directa, rapidamente reinicia y podrás arrancar en MODO SEGURO, asi lanza el ELIBAGLA y podrá eliminarlo, como contamos en el link que te indicaba en el post anterior...



saludos



ms, 29-1-2010

[GRN]

Hola.



En primer lugar quiero disculparme por el trabajo adicional que os he dado por no haberme leido todas las instrucciones. No caí en la cuenta de que, al no tener que enviar muestras, el cauce de comunicación podría ser distinto. [b]Lo siento[/b]. :?



He tomado nota de todos los enlaces, y en cuanto llegue a casa lo probaré. Os contaré!



¡Buen fin de semana! y..



¡muchas gracias! :)

[msc hotline sat]

No te preocupes, es que el foro es altruista, pero SATINFO es una empresa con una estructura que ha de ser rentable, y sus servicios son de pago... Claro que yo estoy en los dos lados, como Director técnico de SATINFO y como Administrador de este foro, pero se ha de compaginar lo que se puede disponer de cada lado :).



Claro que en SATINFO tenemos técnicos que pueden analizar los logs y demás, pero su tiempo se destina a los clientes que tienen contratado Servicio de Asistencia Tecnica, que es gracias a lo que se puede pagar el sueldo de 25 empleados, mantener 50 ordenadores (no solo para uso del personal sino para monitorizar muestras, dar servicios web y demas), así como mantener los locales y servicios básicos, para lo que además somos mayoristas en España de primeras marcas de seguridad (McAfee, Spamina, Clavister, etc) -ver http://www.satinfo.es -



Ahora te atiendo desde casa, pues los viernes tarde no trabajamos, y por ello puede extenderme algo mas que entre tareas... Y ya viste que ayer noche te atendí hasta las tantas y que esta mañana desde las 5 AM ya estoy al pie del cañón...



Bueno, aparte de tareas "domésticas" (acompañar a mi esposa a la compra y demás) estaré por aquí si necesitas algo, pero solo te recomiendo RAPIDEZ entre que lances el ELIBAGLA normalmente Y SIN EXPLORAR , reinicies pulsando repetidamente F8 y arranques en modo seguro, en cuyo modo vuelvas a lanzar de nuevo el BAGLE:



Y es que eliminamos las claves que impiden arrancar en modo seguro (las del SAFEBOOT), pero el bagle las regenera en pocos segundos, asi que tras aparecer la leyenda de detectado el Bagle, cuando te ofrezca SALIR, reinicia rapidamente en modo seguro y desde ahí podrás eliminar el bagle lanzando de nuevo el ELIBAGLA.



Ya es la version 1350 que hacemos, quiere decir que controlamos mas de 1000 variantes de Bagle, y en consecuencia que hemos tenido mas de 10.000 casos del mismo, como quien dice casi es de la familia.



Hace unos 6 años que tenemos un pulso con su creador, y hasta nos atacaba la utilidad impidiendo ejecutar si el proceso indicaba que era de SATINFO, pero lo hemos ido soslayando... y por ahora, reconociendo que es de los duros de pelar, lo vamos controlando.



Pero solo es una familia de las 300 para las que tenemos utilidades, tras monitorizar las muestras, para ver lo que hacen y asi deshacerlo, total unos 2 millones de variantes de especimenes que van incrementandose a razon de unos 1000 nuevos diarios... quien da mas ??? :mrgreen:



Venga, animo que tienes todos los conocimientos y medios a tu alcance. Has de poder con él :wink:



Cuentanos el resultado, gracias



saludos



ms, 29-1-2010

[GRN]

[quote="msc hotline sat"]No te preocupes, es que el foro es altruista, pero SATINFO es una empresa con una estructura que ha de ser rentable, y sus servicios son de pago... Claro que yo estoy en los dos lados, como Director técnico de SATINFO y como Administrador de este foro, pero se ha de compaginar lo que se puede disponer de cada lado :).



Claro que en SATINFO tenemos técnicos que pueden analizar los logs y demás, pero su tiempo se destina a los clientes que tienen contratado Servicio de Asistencia Tecnica, que es gracias a lo que se puede pagar el sueldo de 25 empleados, mantener 50 ordenadores (no solo para uso del personal sino para monitorizar muestras, dar servicios web y demas), así como mantener los locales y servicios básicos, para lo que además somos mayoristas en España de primeras marcas de seguridad (McAfee, Spamina, Clavister, etc) -ver http://www.satinfo.es -



Ahora te atiendo desde casa, pues los viernes tarde no trabajamos, y por ello puede extenderme algo mas que entre tareas... Y ya viste que ayer noche te atendí hasta las tantas y que esta mañana desde las 5 AM ya estoy al pie del cañón...



Bueno, aparte de tareas "domésticas" (acompañar a mi esposa a la compra y demás) estaré por aquí si necesitas algo, pero solo te recomiendo RAPIDEZ entre que lances el ELIBAGLA normalmente Y SIN EXPLORAR , reinicies pulsando repetidamente F8 y arranques en modo seguro, en cuyo modo vuelvas a lanzar de nuevo el BAGLE:



Y es que eliminamos las claves que impiden arrancar en modo seguro (las del SAFEBOOT), pero el bagle las regenera en pocos segundos, asi que tras aparecer la leyenda de detectado el Bagle, cuando te ofrezca SALIR, reinicia rapidamente en modo seguro y desde ahí podrás eliminar el bagle lanzando de nuevo el ELIBAGLA.



Ya es la version 1350 que hacemos, quiere decir que controlamos mas de 1000 variantes de Bagle, y en consecuencia que hemos tenido mas de 10.000 casos del mismo, como quien dice casi es de la familia.



Hace unos 6 años que tenemos un pulso con su creador, y hasta nos atacaba la utilidad impidiendo ejecutar si el proceso indicaba que era de SATINFO, pero lo hemos ido soslayando... y por ahora, reconociendo que es de los duros de pelar, lo vamos controlando.



Pero solo es una familia de las 300 para las que tenemos utilidades, tras monitorizar las muestras, para ver lo que hacen y asi deshacerlo, total unos 2 millones de variantes de especimenes que van incrementandose a razon de unos 1000 nuevos diarios... quien da mas ??? :mrgreen:



Venga, animo que tienes todos los conocimientos y medios a tu alcance. Has de poder con él :wink:



Cuentanos el resultado, gracias



saludos



ms, 29-1-2010[/quote]



¡Pues ya está! :D :D



En primer lugar, mi agradecimiento. Como ya dije en un mensaje anterior, mucha más ayuda que otras de pago.



Por otra parte, no me habían pasado inadvertidas las horas en que contestabas mis mensajes: eso tiene un nombre, ¡mejor dos!, altruismo y vocación. Por lo primero, ¡gracias de nuevo!; por lo segundo ¡enhorabuena!: es una suerte disfrutar con el propio tranbajo.... sin olvidar las tareas domésticas y derivadas.. :wink:



También una sugerencia. Dada la importancia de la 2ª pasada en modo seguro.... ¿por qué no incide en ello el propio programa?, por ejemplo, recordandolo cuando pide que reiniciemos.



¡Como no!, pego el log:





(25-1-2010 22:55:18)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\SROSA2.SYS --> Eliminado Bagle(rootkit)

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\131390.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\DOWNLD\131390.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\137046.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\DOWNLD\137046.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\DOWNLD\145703.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\DOWNLD\150781.EXE --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(25-1-2010 22:59:1)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(25-1-2010 22:59:52)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 16220

Nº Total de Ficheros: 158457

Nº de Ficheros Analizados: 20738

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(25-1-2010 23:15:4)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Reinicie para Completar la Limpieza.



(25-1-2010 23:17:9)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.



(26-1-2010 19:3:49)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\SROSA2.SYS --> Eliminado Bagle(rootkit)

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(26-1-2010 19:6:27)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.



(26-1-2010 19:6:49)

EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18278

Nº Total de Ficheros: 213353

Nº de Ficheros Analizados: 22155

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(29-1-2010 8:1:15)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle dldr Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.



(29-1-2010 8:1:29)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\131390.EXE.MUESTRA ELIBAGLE V13.48 --> Eliminado Bagle(drzip)

C:\Muestras\137046.EXE.MUESTRA ELIBAGLE V13.48 --> Eliminado Bagle

C:\Muestras\WINUPGRO.EXE.MUESTRA ELIBAGLE V13.48 --> Eliminado Bagle dldr



Nº Total de Directorios: 18270

Nº Total de Ficheros: 212414

Nº de Ficheros Analizados: 22189

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



(29-1-2010 9:8:58)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle dldr Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.



(29-1-2010 9:9:45)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18270

Nº Total de Ficheros: 212410

Nº de Ficheros Analizados: 22186

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(29-1-2010 9:31:51)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle dldr Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.



(29-1-2010 9:35:32)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle dldr Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.



(29-1-2010 9:38:2)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle dldr Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.



(29-1-2010 9:38:13)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18271

Nº Total de Ficheros: 212418

Nº de Ficheros Analizados: 22186

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(31-1-2010 21:50:4)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Eliminado Bagle dldr

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Eliminado Bagle(rootkit)

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Eliminado Bagle.dldr

Entrada Eliminada [HKCU\...\Run] "drvsyskit"="C:\Documents and Settings\IGNACIO\Datos de programa\drivers\winupgro.exe"

Entrada Eliminada [HKCU\...\Run] "german.exe"="C:\WINDOWS\system32\wintems.exe"

Entrada Eliminada [HKCU\...\Run] "mule_st_key"="C:\Documents and Settings\IGNACIO\Datos de programa\m\flec006.exe"

Eliminado Servicio, "srosa"



(31-1-2010 21:50:24)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18288

Nº Total de Ficheros: 212620

Nº de Ficheros Analizados: 22203

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(31-1-2010 22:25:31)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%AppData%\Drivers"

Eliminada Carpeta "%AppData%\M"







Finalmente, espero no volver a necesitaros durante algún tiempo, pero entre tanto, os seguiré en Greader y, desde luego, seguiré contando en mi entorno lo bien que me ha ido con vosotros.



Saludos.

[msc hotline sat]

Pues finalmente, y como era de esperar, has podido con el Bagle :) :


[quote]31-1-2010 21:50:4)

EliBagle v13.50 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 28 de Enero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Eliminado Bagle dldr

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Eliminado Bagle(rootkit)

C:\DOCUMENTS AND SETTINGS\IGNACIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Eliminado Bagle.dldr

Entrada Eliminada [HKCU\...\Run] "drvsyskit"="C:\Documents and Settings\IGNACIO\Datos de programa\drivers\winupgro.exe"

Entrada Eliminada [HKCU\...\Run] "german.exe"="C:\WINDOWS\system32\wintems.exe"

Entrada Eliminada [HKCU\...\Run] "mule_st_key"="C:\Documents and Settings\IGNACIO\Datos de programa\m\flec006.exe"

Eliminado Servicio, "srosa"[/quote]

Y sobre lo que sugieres de que el programa incida sobre el arrancar en modo seguro, ello solo es cuando es "resistente" y el programa no puede saber si ya se ha pasado una vez o cada vez que se lanza dice lo mismo, pues es despues de reiniciar el ordenador, y para cuando sucede, ya tenemos el post previsto, como te indicamos, y a los clientes, si es el caso, nos lo dicen y precisamos lo que procede hacer.



Y no sé si te lo dije, pero estos Bagle de ahora dejan un regalito dentro de los ZOP que encuentran... Por ello desde la 13.48 se el ELIBAGLA dispone de una casilla para MIRAR ZIP, vuelvelo a pasar con la casilla marcada, y si encuentras algun ZIP que contenga Bagles, lo desempaquetas y eliminas el "regalito", parta evitar que en el futuro te lleves una sorpresa.



Y bueno, ya nada mas que felicitarte por el exito de tu gestión, que Bagles asi son duros de pelar, y vigila con lo que te llega por mail, no ejecutes anexados ni pùlses en links o imagenes de mails que te llegan sin haberlos pedido, aunque vengan de personas conocidas, pueden no saber que te lo han enviado o que figuran coimo remitentes (puede que incluso no te lo hayan enviado ellas -spoofing-)



Y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 1-2-2010