El cobarde del Norton (SOLUCIONADO)

[VayaVirus]

Recibí un correo ayer de una pagina de la q intente bajar un programa.



Al ejecutar el archivo adjunto (confiado que provenía de una pagina seria)....... desapareció automáticamente el norton.



Intenté ejecutarlo de nuevo y nada.

Intenté instalarlo de nuevo y nada.



He scaneado OnLine con panda antivirus y me ha detectado ¡¡¡¡¡¡29 Spyware!!!!!!!! :shock: :shock: :shock:



Pero para quitarlos me pide $$$$$. :?



He pasando el Avast y n me ha detectado nada.



Que puedo hacer q no sea la solución del formateo??? :(



Saludos y gracias anticipadas.

:wink:

[msc hotline sat]

Todos los residentes de seguridad, antivirus y cortafuegos por software, con desactivados por muchos malwares que asi se protegen para que no les controlen a pesar de que con el antivirus actualizado ya podrían ser detectados



El Bagle es el mas prolifico en este sentido, del que cada día recibimos nuevas muestras que no solo desactivan los antivirus, sino que impiden que el ordenador pueda arrancar en modo seguro, y dispone de rootkit para que en modo normal se cargue y oculte claves, procesos y ficheros viricos y no sea detectado facilmente



Por si fuera el caso, pruebe el ELIBAGLA:





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



y tras ello reinicie y copienos el contenido de c:\infosat.txt, gracias



Pero si no le detecta nada, no desespere, hay 250.000 mas conocidos, y los nuevos de cada día...



Puede en tal caso probar con un escaneo ONLINE lanzando este antivirus:







[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]





y si ni con este detecta nada, empezaremos a investigar con el HJT, pero dejemos esto para el final, a ver si se trata de algo conocido, pero sino, ningun problema, le indicaremos lo que tiene que hacer para que podamos saber de qué se trata y eliminarlo. Hasta ahora ninguno se nos ha resistido, y llevamos ya mas de 250.000, no creo que el suyo sea la excepcion que confirme la regla :lol:



saludos



ms, 13-02-2007

[VayaVirus]

Muchas gracias por la rápida respuesta, seguiré los pasos q me aconsejas y seguimos en contacto.



Otra cosa ..... no me hables de usted amigo .... q me envejeces :D :D



Saludosss

[msc hotline sat]

A mi edad todos sois mas jovenes, y se trata de la costumbre de tratar con los clientes...



Gracias por la confianza



saludos



ms, 13-02-2007

[VayaVirus]

Pos amigo el EliBaglA n detecta na y este es el texto q genera:





Mon Feb 12 23:15:19 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.11

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ANTONIO\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.11

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ANTONIO\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"



Mon Feb 12 23:16:24 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Feb 12 23:54:20 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR --> Eliminado

C:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Eliminado

Eliminada Carpeta "%AppData%\Hidires"



Mon Feb 12 23:54:22 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 10:18:03 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Feb 13 15:07:03 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Feb 13 15:16:27 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Feb 13 15:16:31 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Gracias y saludos

[msc hotline sat]

Pues no es poco lo que ya detectó e hizo !!!



Por favor, envienos una muestra del fichero

C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.11



Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.11



Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.11



Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.11



pero como que posteriormente otra version ya eliminó alguno de ellos:



EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR --> Eliminado

C:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Eliminado





Solo hace falta que envies estos dos:



Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.11



Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.11



recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Así que has tenido el Bagle... No se deben abrir los ficheros anexados a los mails que se reciben !!!



envianos las muestras, las analizaremos e implementaremos su eliminacion en la proxima version del ELIBAGLA, hoy mismo si las envias pronto...



saludos



ms, 13-02-2007

[VayaVirus]

Ya lo he enviado ..... n se si bien o mal pero ....enviado.



Gracias y un Saludo

[msc hotline sat]

Bien enviado y recibido



Analizados se detectan variantes de Bagle que ya controlamos con la nueva version de hoy 10.12



A partir de las 20 h descargalo de esta web, pruebalo y nos comentas el resultado, gracias



(El link es el mismo que el que has usado)



saludos



ms, 13-02-2007

[VayaVirus]

Pos dicho y hecho amigo...



La nueva versión ha detectado 3 ficheros infectados.



Te pongo en fichero de texto InfoSat:





Mon Feb 12 23:15:19 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.11

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ANTONIO\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.11

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ANTONIO\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"



Mon Feb 12 23:16:24 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Feb 12 23:54:20 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR --> Eliminado

C:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Eliminado

Eliminada Carpeta "%AppData%\Hidires"



Mon Feb 12 23:54:22 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 10:18:03 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Feb 13 15:07:03 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Feb 13 15:16:27 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Feb 13 15:16:31 2007

EliBagle v10.11 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Feb 13 21:42:36 2007

EliBagle v10.12 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Feb 13 21:42:39 2007

EliBagle v10.12 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\HIDR.EXE.MUESTRA ELIBAGLE V10.11 --> Eliminado Bagle

C:\Muestras\M_HOOK.SYS.MUESTRA ELIBAGLE V10.11 --> Eliminado Bagle (rootkit)

C:\Muestras\WINTEMS.EXE.MUESTRA ELIBAGLE V10.11 --> Eliminado Bagle



¿¿Podemos decir q sta todo OK????



Muuuuuuchas gracias

[MrKogoyo]

[quote="VayaVirus"]¿¿Podemos decir q sta todo OK????



Muuuuuuchas gracias[/quote]

Pues eso lo tendrias que decir tu ¿no?



[b]Slds. ¡¡

Mr.K[/b]

[VayaVirus]

Pos parece q n ... :( :evil:



Sigo sin poder activar el Norton y al chequear con PandaActiveScan me sigue detectando Spyware ..........



¿que hacemos??????



Muchas gracias por las respuestas, un saludo.

[MrKogoyo]

Pues Intenta con este AV ONLINE



https://www.eset.es/analisis-online/



Ademas lo que yo te recomiendo es Instalarte este Anti-Spyware



http://www.ewido.net/en/download/



E Caso de que te lo Instales, ejecutalo y si te detecta algo, borralo (dependiendo de lo que sea)



[b]Slds. ¡¡

Mr.K.[/b]

[msc hotline sat]

Por parte del Bagle que tenías sí que está solucionado, pero hay otros 250.000 mas que puedes tener...



Si con lo indicado en post anterior puedes eliminar lo que detecte, perfecto, pero si no, nos indicas los que te detecta y te diremos como eliminarlo o que nos envies muestra en su caso.



saludos



ms, 14-02-2007

[VayaVirus]

Muuuuuuuchas gracias por las sugerencias.



He instalado el AVG de ewido y me ha detectado y eliminado el Worm.Bagle.



He chequeado el ordenador con - eTrust Antivirus Web Scanner

y tb ha detectado y eliminado cosillas .... pero estas dos no las puede eliminar n desinfectar:



Dc247.rar>HIDR.EXE.Muestra EliBagle v10.11



Dc247.rar>M_HOOK.SYS.Muestra EliBagle v10.11



Uno d los ficheros infectados fue el programa q intenté bajarme el "PCWachtTime 1.3." ---- alguien sabe como conseguirlo de forma segura????



Ahora intantaré instalar de nuevo el Norton a ver s me deja,



Gracias y saludos

[msc hotline sat]

Dice "He instalado el AVG de ewido "... creo que es al reves, que AVG ha adquirido el ewido, pero eso solo es a titulo de informacion



Con el ELIBAGLA actual, 10.12, ya se controlan y eliminan las muestras de la variante en cuestion:



ELIBAGLA



--v10.12-- (13 de Febrero del 2007) (Muestras de (9)Bagle "HIDR.EXE, M_HOOK.SYS, WINTEMS.EXE y HLDRRR.EXE")





en cualquier caso, celebramos que se haya resuelto el problema, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 14-02-2007