Problema con virus (SOLUCIONADO)

[jcggenoves]

Hola, desde ayer me stoy oegando con el ordenador. Os cuento lo que ha pasado: el antivirus que tengo (Kaspersky AV) se desactivó y me salía el mansaje de que no era una aplicación Win32 válida. Instalé el UnHackme para que me limpiara el registro y me encontraba varios archivos: "wfsintwq.sys" y "srousa" (o algo así). Reiniciaba el ordenador e intentaba pasar un antivirus online pero se me bloqueaba el scanner. He visto en el foro que hay más con problemas similares y que vosotros habéis podido ayudarles.

[msc hotline sat]

Tienes un Bagle.

Descarga el ELIBAGLA :

ELIBAGLA:
http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del procesos


saludos

ms, 2-2-2010

[jcggenoves]

Perdona, pero no puedo mandar el mensaje que piden; dice que el servicio no está activado.

[msc hotline sat]

Pues sigue las instrucciones al respecto, si tienes problemas de descarga:

En caso de incidencia, exponga su problema a nuestro departamento de soporte SMS Premium.


Quizás haya un problema temporal, prueba un poco mas tarde ...

saludos

ms, 2-2-2010

[jcggenoves]

De acuerdo. Ya he mandado la incidencia. En cuanto tenga el informe del Elibagla, lo posteo.



Gracias

[jcggenoves]

Aquí está el log del Elibagla. Mando también la muestra que me pide.



(2-2-2010 19:36:57)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.53

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\SROSA2.SYS --> Eliminado Bagle(rootkit)

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle





Tú dirás...

[msc hotline sat]

Pues a pesar de que hoy se han implementado 3 nuevas variantes de Bagle



Tienes otra variante aun no controlada, que tras recibir la muestra indicada, implementaremos su control y eliminación en la próxima versión, mañana mismo, cuando volvamos al trabajo en SATINFO.

Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.53

No sé como la has enviado, pero te recuerdo como se ha de hacer:

Tras recibirlos, los analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 2-2-2010
Ref ES/Va+41.65-4.72

[msc hotline sat]

Y a título de información, el Bagle, además de impedir arrancar en Modo Seguro y quedar residente con su Rootkit, para impedir ser detectado y eliminado, corrompe las aplicaciones antivirus, las cuales una vez eliminado el Bagle, deben ser desinstaladas e instaladas de nuevo.

Tambien puede dejar maltrechas algunas aplicaciones, las cuales al ejecutar indicarn NO ES UNA APLICACION WIN32 VALIDA. Dichas aplicaciones, como el antivirus, deberán ser reinstaladas.

Es un viejo conocido, si quieres conocerlo un poco, mira esta NOTICIA:
http://www.zonavirus.com/noticias/2010/ ... de-hoy.asp

y por cierto, si tienes ficheros ZIP, en su interior habrá metido ficheros infectados, para que el día de mañana, al desempaquetar dicho ZIP, los ejecutes y te reinfectes... Cuando mañana descargues el nuevo ELIBAGLA y lo pruebes, marca la casilla de MIRAR ZIP, y procede en consecuencia.

saludos

ms, 2-2-2010

[jcggenoves]

Lo he enviado como zip, pero sin contraseña, ¿vale así?



Hice una exploración del sistema con el Elibagle marcando la opción "Eliminar ficheros" y reinicié el ordenador. Al cargarse de nuevo el Elibagle me pedía reiniciar otra vez. Como había leído el tema que había escrito, lo reinicié rápidamente esta vez en modo a prueba de errores y, sí, esta vez me dejaba. Ahora estoy haciendo otra exploración por ver si queda algo.



Un pregunta: comentabas en uno de los posts que el Bagle infectaba los archivos Zip. Al hacer la primera exploración marqué también la casilla "Mirar Zip" y me salían todos los archivos zip que tengo. ¿Son falsos positivos o están infectados? Que hago, ¿los limpio uno a uno o los elimino directamente?



Gracias por todo. Esto ya va mucho mejor.

[msc hotline sat]

Pedimos que se empaqueten con password para que no sean interceptados por los antivirus de la Red, pero este Bagle es posible que no lo conozca nadie y nos llegue...



Y sobre los ZIP, no veo el informe indicandolo ??? posteanos todo el infosat.txt...



Y no se trata de un falso positivo, sino de una nueva historia de los Bagle con la que pretenden "resucitar" tras haber sido "eliminado".



Y si quieres algo mas, seguiré mañana, que me llaman a cenar y "A la taula i al llit, al primer crit ! " :)



saludos



ms, 2-2-2010

[jcggenoves]

Vuelvo a enviar la muestra, esta vez con contraseña y pego el informe:





(2-2-2010 19:36:57)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.53

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\SROSA2.SYS --> Eliminado Bagle(rootkit)

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(2-2-2010 19:46:28)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Java\jre6\lib\deploy\FFJCEXT.ZIP -> crack/patch.exe -> Detectado Bagle dldr

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2009\RESCUECD.ZIP -> keygen/keygen.exe -> Detectado Bagle dldr

C:\Archivos de programa\Nero\Nero8\Nero MediaHome\NEROMEDIAHOME.PLUGIN.XRTJS.SUDOKU.ZIP -> keygen/patch.exe -> Detectado Bagle dldr

C:\Archivos de programa\Samsung\Samsung PC Studio 3\USB Drivers\MCCI DRIVERS_VISTA.ZIP -> patch/patch.exe -> Detectado Bagle dldr

C:\Archivos de programa\Windows Media Player\NPDRMV2.ZIP -> keygen/keygen.exe -> Detectado Bagle dldr

C:\Archivos de programa\Windows Media Player\NPDS.ZIP -> patch/patch.exe -> Detectado Bagle dldr

C:\Archivos de programa\WinZip\EXAMPLE.ZIP -> keygen/patch.exe -> Detectado Bagle dldr

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP.8.454_10.08_22.11_7A8.DUMP.ZIP -> crack/keygen.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\.rainlendar2\backups\20100124-RAINLENDAR2BACKUP.ZIP -> patch/crack.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\.rainlendar2\backups\20100125-RAINLENDAR2BACKUP.ZIP -> patch/keygen.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\.rainlendar2\backups\20100126-RAINLENDAR2BACKUP.ZIP -> patch/crack.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\.rainlendar2\backups\20100127-RAINLENDAR2BACKUP.ZIP -> crack/keygen.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\.rainlendar2\backups\20100128-RAINLENDAR2BACKUP.ZIP -> crack/patch.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\.rainlendar2\backups\20100129-RAINLENDAR2BACKUP.ZIP -> patch/crack.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\.rainlendar2\backups\20100130-RAINLENDAR2BACKUP.ZIP -> crack/keygen.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\.rainlendar2\backups\20100131-RAINLENDAR2BACKUP.ZIP -> crack/keygen.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\BALLOONS.ZIP -> patch/keygen.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\GSA-4167DL13(EW).ZIP -> keygen/crack.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\TBEC5042.ZIP -> patch/crack.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\TMPGENC-2.524.63.181-FREE.ZIP -> patch/patch.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\UDVDCRTR132-TE.ZIP -> keygen/crack.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\Adobe.Acrobat.Password.Recovery.Key.v5.1.Cracked-RECOiL\CRACK.ZIP -> crack/crack.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\Adobe.Acrobat.Password.Recovery.Key.v5.1.Cracked-RECOiL\RCAAPR51.ZIP -> crack/crack.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\Celular\Ringtones\DISNEY COLLECT.ZIP -> crack/patch.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\cloneCD\CRACK.ZIP -> patch/patch.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\cloneCD\TBEC5042.ZIP -> patch/patch.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\DVDXCopy Platinum 4.0.3.8\PLATINUM4038CRACK.ZIP -> keygen/keygen.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\Mis documentos\Mis archivos recibidos\CONTACTSSIDEBAR-0.5+-ESES.ZIP -> keygen/patch.exe -> Detectado Bagle dldr

C:\Documents and Settings\Usuario\Mis documentos\Mis archivos recibidos\GUAPDF21.ZIP -> patch/crack.exe -> Detectado Bagle dldr



Nº Total de Directorios: 6199

Nº Total de Ficheros: 90210

Nº de Ficheros Analizados: 8979

Nº de Ficheros Infectados: 29

Nº de Ficheros Limpiados: 0



(2-2-2010 19:51:37)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

D:\Adobe\Adobe Bridge CS3\browser\skin\STANDARD_SKIN.ZIP -> keygen/patch.exe -> Detectado Bagle dldr

D:\Adobe\Adobe Bridge CS3\browser\skin\WINDOWS_SKIN.ZIP -> crack/crack.exe -> Detectado Bagle dldr

D:\Adobe\Adobe Device Central CS3\Required\DEVICES.ZIP -> crack/patch.exe -> Detectado Bagle dldr

D:\Adobe\Adobe Device Central CS3\Required\Opera\skin\STANDARD_SKIN.ZIP -> keygen/patch.exe -> Detectado Bagle dldr

D:\Adobe\Adobe Device Central CS3\Required\Opera\skin\WINDOWS_SKIN.ZIP -> patch/keygen.exe -> Detectado Bagle dldr

D:\Adobe after effects\ssaae7\Program Files\Adobe\Adobe After Effects 7.0\Support Files\Help\en_US\AFTEREFFECTS_7.0_EN-US.ZIP -> patch/crack.exe -> Detectado Bagle dldr

D:\Auto Gordian Knot\AviSynth 2.5\Examples\EQUALIZER PRESETS.ZIP -> keygen/patch.exe -> Detectado Bagle dldr

D:\CyberLink\PCM4Everio\Koan\PSYCO.ZIP -> crack/patch.exe -> Detectado Bagle dldr

D:\CyberLink\PCM4Everio\Koan\PYTHON24.ZIP -> patch/patch.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS\Mis documentos\Configuración local\Archivos temporales de Internet\Content.IE5\4RVJY4L1\LA INCREÍBLE HISTORIA DE POLOLIÑO (A4).ZIP -> crack/patch.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS\Mis documentos\Mis documentos\Mi música\nero\AHEAD_NERO_BURNING_ROM_V551.ZIP -> crack/patch.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS\Mis documentos\Mis documentos\Mis archivos recibidos\codecs\MPCBATCHENC.ZIP -> crack/patch.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS\Mis documentos\Mis documentos\Mis archivos recibidos\codecs\MPG4VKI.ZIP -> keygen/keygen.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS\Mis documentos\Mis documentos\Mis archivos recibidos\codecs\MPG4_CODEC.ZIP -> patch/crack.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS\Mis documentos\Mis documentos\Mis archivos recibidos\codecs\MPPDEC-1.95E.ZIP -> patch/patch.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS\Mis documentos\Mis documentos\Mis archivos recibidos\codecs\MPPDEC.ZIP -> keygen/crack.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS\Mis documentos\Mis documentos\Mis archivos recibidos\codecs\MPPENC-WINDOWS-1.14.ZIP -> crack/crack.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS\Mis documentos\Mis documentos\Mis archivos recibidos\codecs\REPLAYGAIN.ZIP -> keygen/crack.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS 2\Usuario\Mis documentos\Archivos descargados\BALLOONS.ZIP -> patch/keygen.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS 2\Usuario\Mis documentos\Archivos descargados\GSA-4167DL13(EW).ZIP -> keygen/crack.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS 2\Usuario\Mis documentos\Archivos descargados\TBEC5042.ZIP -> patch/crack.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS 2\Usuario\Mis documentos\Archivos descargados\TMPGENC-2.524.63.181-FREE.ZIP -> patch/patch.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS 2\Usuario\Mis documentos\Archivos descargados\UDVDCRTR132-TE.ZIP -> keygen/crack.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS 2\Usuario\Mis documentos\Archivos descargados\Adobe.Acrobat.Password.Recovery.Key.v5.1.Cracked-RECOiL\CRACK.ZIP -> crack/crack.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS 2\Usuario\Mis documentos\Archivos descargados\Adobe.Acrobat.Password.Recovery.Key.v5.1.Cracked-RECOiL\RCAAPR51.ZIP -> crack/crack.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS 2\Usuario\Mis documentos\Archivos descargados\Celular\Ringtones\DISNEY COLLECT.ZIP -> crack/patch.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS 2\Usuario\Mis documentos\Archivos descargados\cloneCD\CRACK.ZIP -> patch/patch.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS 2\Usuario\Mis documentos\Archivos descargados\cloneCD\TBEC5042.ZIP -> patch/patch.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS 2\Usuario\Mis documentos\Archivos descargados\DVDXCopy Platinum 4.0.3.8\PLATINUM4038CRACK.ZIP -> keygen/keygen.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS 2\Usuario\Mis documentos\Mis archivos recibidos\CONTACTSSIDEBAR-0.5+-ESES.ZIP -> keygen/patch.exe -> Detectado Bagle dldr

D:\DATOS SALVADOS 2\Usuario\Mis documentos\Mis archivos recibidos\GUAPDF21.ZIP -> patch/crack.exe -> Detectado Bagle dldr

D:\emule\EMULE0.46C-SOURCES.ZIP -> crack/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\2_WINZIP 8.1 WINRAR WINACE 2.11 EN ESPAñOL LOS TRES +CRACKER.ZIP -> crack/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\3D STUDIO MAX TUTORIAL MANUAL (3.13MB).ZIP -> keygen/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\787.FONTS.BY.TOPHES-787.FUENTES.BY.TOPHES.ZIP -> keygen/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\ADOBE ACROBAT 9 PRO EXTENDED SERIAL & CRACK @ NEW.ZIP -> crack/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\AUTOCAD 2004 (TUTORIAL).ZIP -> patch/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\BLAZE DVD PLAYER 3.5 PROFESSIONAL + SERIAL.ZIP -> patch/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\CANTAJUEGOS - VOL 3 AUDIO.ZIP -> patch/keygen.exe -> Detectado Bagle dldr

D:\emule\Incoming\CANTAJUEGOS 2 (PARA ESCUCHAR).ZIP -> keygen/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\CDISPLAY.COMIC.BOOK.READER.ZIP -> patch/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\COSAS DE NIñOS (ANA BELéN, MIGUEL BOSé, EVA, MOCEDADES, VICTOR MANUEL - 128 KBPS - 12 CANCIONES INFANTILES).ZIP -> keygen/keygen.exe -> Detectado Bagle dldr

D:\emule\Incoming\CURSO BASICO (140 PAGS) PDF COMPLETO VISUAL BASIC-STUDIO .NET (GUILLE) [BY -=NAGO=-].ZIP -> patch/keygen.exe -> Detectado Bagle dldr

D:\emule\Incoming\CURSO DE MS WORD XP ESPAñOL (GUIA MANUAL SPANISH COMPART X CYGNUS_M8).ZIP -> keygen/keygen.exe -> Detectado Bagle dldr

D:\emule\Incoming\DIRECT AUDIO CONVERTER AND CD RIPPER 2.0.2 CRACK & SERIALZ.ZIP -> patch/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\DIVX.PRO.V5.1.1-SSG.SHAREREACTOR.ZIP -> patch/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\DOOM II - HELL ON EARTH.ZIP -> crack/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\DVD DECRYPTER 3.1.6.0 ( CASTELLà) + DVD SHRINK 2.3 + DVDXCOPY PLATINUM VERSION 3.2.1 WINALL CRACKED + RECORDNOW.DX.4.6.ESPAñOL + SMARTRIPPER 2.41.ZIP -> keygen/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\DVDSHRINK V3.2.0.15.ZIP -> patch/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\DVDTOAVI + KEY.ZIP -> patch/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\DVDTOAVI_V3_&_CRCK.ZIP -> crack/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\EASY_DVD_PLAYER_V1.0.ZIP -> crack/keygen.exe -> Detectado Bagle dldr

D:\emule\Incoming\EJERCICIOS RESUELTOS DE VISUAL BASIC 6.0 - APRENDERGRATIS - (LIBROS EBOOKS TUTORIAL MANUAL CURSO SPANISH ESPAñOL).ZIP -> patch/keygen.exe -> Detectado Bagle dldr

D:\emule\Incoming\ERGONOMIA III. DISEñO DE PUESTOS DE TRABAJO.ZIP -> patch/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\FUENTES QUE SIMULAN LA CALIGRAFIA NORMAL.ZIP -> crack/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\MANUAL DE AYUDA Y APRENDIZAJE DE 3D STUDIO MAX 5 [ESPAñOL-SPANISH] [WWW.INTERMANUALES.COM].ZIP -> keygen/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\MANUAL DE GESTION DE LA CALIDAD TOTAL.ZIP -> keygen/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\MANUAL MICROSOFT.ACCESS.2002.BIBLE.PDF.ZIP -> keygen/keygen.exe -> Detectado Bagle dldr

D:\emule\Incoming\MANUAL PHOTOSHOP 6 (ESPAñOL).ZIP -> crack/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\MANUAL.OFICIAL.DE.AUTOCAD.2004.ESPAñOL(CURSO_GUIA_SPANISH.COMPART.X.CYGNUS_M8).ZIP -> keygen/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\MANUAL.QUARKXPRESS.4.MAS.COMPLETO.-.SP.ZIP -> crack/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\MANUALES - CURSO RáPIDO DE ACCESS.DOC.ZIP -> crack/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\MODELO_EUROPEO_GESTION_CALIDAD(EFQM).ZIP -> patch/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\NERO 6.3.0.2 (ESPAñOL) + NEROVISION EXPRESS 2.1.0.4 (ESPAñOL) + PLUGIN NERO 6 + KEYGEN BY U&G.ZIP -> keygen/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\POWER DVD 7.0.1725.0 MULTILENGUAJE + CRACK_DNGNMSTR.ZIP -> crack/keygen.exe -> Detectado Bagle dldr

D:\emule\Incoming\REDBONE - THE VERY BEST OF REDBONE (192 KBPS).ZIP -> keygen/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\ROSA LEON - CANCIONES INFANTILES.ZIP -> patch/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\TUTORIAL 3D STUDIO MAX EJERCICIO E IMAGENES ESPAñOL CASTELLANO SPANISH.ZIP -> keygen/crack.exe -> Detectado Bagle dldr

D:\emule\Incoming\ULTRA.DVD.CREATOR.V1.3.2.©.2005.AONE.SOFTWARE.INCL.GOLD.CRACK-TE.ZIP -> keygen/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\UNA HISTORIA DEL POP Y EL ROCK EN ESPAñA-LOS 80 - WWW.PLANETAMP3.COM.ZIP -> crack/keygen.exe -> Detectado Bagle dldr

D:\emule\Incoming\VSO_DIVXTODVD_2.0 AND SERIAL.ZIP -> keygen/keygen.exe -> Detectado Bagle dldr

D:\emule\Incoming\WINDVD.7.PLATINUM.VERSION.7.0.B27.071.EN.SPANISH.ZIP -> keygen/keygen.exe -> Detectado Bagle dldr

D:\emule\Incoming\WINISO 5.3 ESPAñOL CON CRACK(1).ZIP -> patch/keygen.exe -> Detectado Bagle dldr

D:\emule\Incoming\WINISO 5.3 ESPAñOL CON CRACK.ZIP -> crack/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\WORDPERFECT_11 CRACK.ZIP -> crack/patch.exe -> Detectado Bagle dldr

D:\emule\Incoming\WORDPERFECT_OFFICE_11_SERIALNUMBER.ZIP -> crack/keygen.exe -> Detectado Bagle dldr

D:\emule\Incoming\[CRACK] SOUL REAVER 2 NO CD.ZIP -> keygen/crack.exe -> Detectado Bagle dldr

D:\realone\REAL REALONE PLAYER PLUS.ZIP -> keygen/crack.exe -> Detectado Bagle dldr

D:\realone\REALONE.PLAYER.AND.IQFX3.AND.VTUNER.PLUS.V4.0 ( OK! ).ZIP -> patch/crack.exe -> Detectado Bagle dldr

D:\Samsung\Samsung PC Studio 3\USB Drivers\MCCI DRIVERS_VISTA.ZIP -> crack/patch.exe -> Detectado Bagle dldr



Nº Total de Directorios: 5671

Nº Total de Ficheros: 67852

Nº de Ficheros Analizados: 4201

Nº de Ficheros Infectados: 80

Nº de Ficheros Limpiados: 0



(2-2-2010 20:1:9)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.53

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\DRIVERS\DOWNLD\3010062.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\DRIVERS\DOWNLD\3046109.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\DRIVERS\DOWNLD\3093000.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\DRIVERS\DOWNLD\3101328.EXE --> Eliminado Bagle

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(2-2-2010 20:7:57)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Eliminado Bagle



(2-2-2010 20:8:2)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Usuario\Datos de programa\m\FLEC006.EXE --> Eliminado Bagle.dldr



Nº Total de Directorios: 6112

Nº Total de Ficheros: 84998

Nº de Ficheros Analizados: 9061

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(2-2-2010 20:17:19)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 5365

Nº Total de Ficheros: 60030

Nº de Ficheros Analizados: 3750

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(2-2-2010 20:21:13)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 3

Nº Total de Ficheros: 51

Nº de Ficheros Analizados: 5

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(2-2-2010 20:21:20)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "H:\"



Nº Total de Directorios: 549

Nº Total de Ficheros: 18551

Nº de Ficheros Analizados: 221

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(2-2-2010 20:22:3)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "J:\"



Nº Total de Directorios: 1269

Nº Total de Ficheros: 19871

Nº de Ficheros Analizados: 142

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(2-2-2010 20:24:24)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.53

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USUARIO\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Eliminado Bagle

Entrada Eliminada [HKCU\...\Run] "drvsyskit"="C:\Documents and Settings\Usuario\Datos de programa\drivers\winupgro.exe"

Entrada Eliminada [HKCU\...\Run] "german.exe"="C:\WINDOWS\system32\wintems.exe"

Entrada Eliminada [HKCU\...\Run] "mule_st_key"="C:\Documents and Settings\Usuario\Datos de programa\m\flec006.exe"

Eliminada Carpeta "%AppData%\M"





Por lo que parece el ordenador está limpio. Sólo queda el tema de los Zip infectados, pero eso puede esperar a mañana :D . Cena bien y que te aproveche. ¡Ah! y gracias por todo, has sido de gran ayuda.

[msc hotline sat]

Le falta controlar esta nueva variante, y tras comprobar que, con la nueva version que haremos hoy, detecta y elimina este fichero que hay en C:\muestras, sí que solo quedará el Tema de los ZIP

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.53
a "virus@satinfo.es". Gracias.

Y efectivamente, para lo que pedíamos el infosat.txt completo, era para ver las detecciones en los ZIP existentes, y BINGO ! , ya ves que en cada ZIP te ha insertado un EXE infectado, como en el primero que aparece en un ZIP del infosat.txt:

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2009\RESCUECD.ZIP -> keygen/keygen.exe -> Detectado Bagle dldr

Pues para este y todos los demás, simplemente desempaqueta cada ZIP en una carpeta a tal efecto, borras el fichero infectado, vuelves a empaquetar dicho ZIP y copias éste último a donde estaba, sustituyendo así el que había para que no contenga dicho fichero infectado con Bagle.

Esto lo puedes ir haciendo YA, segun el infosat.txt actual, y a partir de las 19 horas, cuando subamos la nueva version 13.54 de hoy, compruebas que ya te elimine el fichero de C:\muestras y los demás que pudiera haber de esta nueva variante, y hazlo marcando la casilla de MIRAR ZIP, para ver que no te quede ningun ZIP con "regalito" del Bagle...

Ya ves de lo que te habrás librado ... !

Y al final nos cuentas el resultado, gracias

saludos
ms, 3-2-2010

[msc hotline sat]

Dada la tarea que representaría a los usuarios que hayan tenido Bagle, hemos mirado como simplificarla, y es muy fácil eliminar un fichero concreto de un paquete ZIP, cuando se sabe el nombre del fichero a eliminar, lo cual no habíamos tenido que hacer nunca, y por esto había indicado el proceso manual:



Simplemente, entrar en el ZIP con doble click, y el descompresor del XP ya visualizará los ficheros que contiene, pues marcar con el botón derecho el que queramos suprimir y darle a ELIMINAR ... Esto es todo !



Es que vista la tarea manual, no nos ha parecido suficiente y hemos buscado otra manera y esta es mucho mas rápida !



saludos



ms, 3-2-2010

[msc hotline sat]

Analizada la muestra enviada, como era de esperar ha resultado ser una nueva variante de Bagle que pasamos a controlar con la version del ELIBAGLA 13.54 de hoy, que estará disponible a partir de las 19 h:

ELIBAGLA:
http://www.zonavirus.com/descargas/elibagla.asp

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 3-2-2010

[jcggenoves]

Te cuento lo que ha pasado desde ayer. Pude volver a instalar el Kasperski e hice un análisis total. El antivirus me eliminó TODOS los Beagle que tenía, incluso los de los archivos ZIP. Volví a pasar el ElibaglA por comprbar que no quedaba nada y así fue. Me descargué la versión 13.54 y la pasé: me eliminó la muestra del virus. Posteo el Infosat:





(3-2-2010 14:58:22)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(3-2-2010 14:58:25)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6200

Nº Total de Ficheros: 88475

Nº de Ficheros Analizados: 8976

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-2-2010 15:51:51)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 5447

Nº Total de Ficheros: 67780

Nº de Ficheros Analizados: 4121

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-2-2010 18:12:28)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 1271

Nº Total de Ficheros: 21236

Nº de Ficheros Analizados: 453

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-2-2010 18:15:20)

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "H:\"



Nº Total de Directorios: 590

Nº Total de Ficheros: 20175

Nº de Ficheros Analizados: 319

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-2-2010 18:29:24)

EliBagle v13.54 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 3 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(3-2-2010 18:29:30)

EliBagle v13.54 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 3 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Muestras"

C:\Muestras\WINUPGRO.EXE.MUESTRA ELIBAGLE V13.53 --> Eliminado Bagle dldr



Nº Total de Directorios: 0

Nº Total de Ficheros: 2

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(3-2-2010 18:32:21)

EliBagle v13.54 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 3 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(3-2-2010 18:32:35)

EliBagle v13.54 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 3 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6107

Nº Total de Ficheros: 82618

Nº de Ficheros Analizados: 8842

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Por tanto, creo que ya está solucionado el problema. Por mi parte, podemos cerrar el hilo. Quiero agradecerte la ayuda que he recibido de tu parte. Si no fuera por ti y otros como tú, los que no tenemos mucha idea de esto tendríamos un gran problema.

[msc hotline sat]

Pues fijate que dices "Me descargué la versión 13.54 y la pasé: me eliminó la muestra del virus" asi que el antivirus no lo eliminó todo... Es que este aun no lo conoce ek Kaspersky !



Pero tal como dices, todo solucionado, ahora sí :)





Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 3-2-2010