creo que tengo otra vez el gusano bagle (SOLUCIONADO)

[stigmata33]

hola, creo que tengo otra vez el bagle, ya que no me funciona el NOD32, hace un par de meses me paso lo mismo, me podeis ayudar de nuevo? gracias

[msc hotline sat]

Sí claro, pero ya debes tener experiencia con él ... :wink: :




[quote="para descargar el ELIBAGLA, msc"]


http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 22-2-2009

[stigmata33]

resultados:





Sun Feb 22 22:10:56 2009

EliBagle v12.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.24

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\X\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\X\DATOS DE PROGRAMA\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)



Sun Feb 22 22:56:18 2009

EliBagle v12.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.24

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\X\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Sun Feb 22 22:56:30 2009

EliBagle v12.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Sun Feb 22 22:57:55 2009

EliBagle v12.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.24

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\X\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Sun Feb 22 22:58:02 2009

EliBagle v12.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Sun Feb 22 23:04:05 2009

EliBagle v12.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.24

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\X\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\X\DATOS DE PROGRAMA\DRIVERS\DOWNLD\271921.EXE --> Eliminado Proxy.Mitglieder

C:\DOCUMENTS AND SETTINGS\X\DATOS DE PROGRAMA\DRIVERS\DOWNLD\272890.EXE --> Eliminado Proxy.Mitglieder

C:\DOCUMENTS AND SETTINGS\X\DATOS DE PROGRAMA\DRIVERS\DOWNLD\277656.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\X\DATOS DE PROGRAMA\DRIVERS\DOWNLD\279625.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\X\DATOS DE PROGRAMA\DRIVERS\DOWNLD\287328.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\X\DATOS DE PROGRAMA\DRIVERS\DOWNLD\450859.EXE --> Eliminado Proxy.Mitglieder

C:\DOCUMENTS AND SETTINGS\X\DATOS DE PROGRAMA\DRIVERS\DOWNLD\454656.EXE --> Eliminado Proxy.Mitglieder

C:\DOCUMENTS AND SETTINGS\X\DATOS DE PROGRAMA\DRIVERS\DOWNLD\461250.EXE --> Eliminado Proxy.Mitglieder

Restaurada Clave: "SafeBoot\Minimal y Network"



Sun Feb 22 23:04:10 2009

EliBagle v12.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7463

Nº Total de Ficheros: 262463

Nº de Ficheros Analizados: 18563

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





ya esta eliminado no?

tengo que enviar las muestras?

gracias

[julibaga]

Ejecútalo otra vez en Modo seguro

y envía la muestra que se pide
[quote="stigmata33"]Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.24

a "virus@satinfo.es". Gracias.[/quote]
Para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

[msc hotline sat]

Sí, se trata de una variante de las de moda, que usa un WINUPGRO.EXE de los que ya controlamos muchos...



Tras recibir la muestra, la analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 23-2-2009

[stigmata33]

bueno, he arrancado en modo seguro, lo he analizado y esta limpio, tambien he enviado las muestras, nada mas decir que muchas gracias

[msc hotline sat]

Analizadas las muestras, se implementa su control y eliminacion en el ELIBAGLA de hoy 12.25



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Tras descargarlo y probarlo, posteanos el c:\infosat.txt, gracias



saludos



ms, 23-2-2009

[stigmata33]

este es el ultimo informe:

Mon Feb 23 14:10:37 2009

EliBagle v12.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%AppData%\Drivers"



Mon Feb 23 14:10:39 2009

EliBagle v12.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7462

Nº Total de Ficheros: 261923

Nº de Ficheros Analizados: 18563

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Feb 23 19:33:01 2009

EliBagle v12.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%AppData%\Drivers"



Mon Feb 23 19:33:03 2009

EliBagle v12.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7484

Nº Total de Ficheros: 258128

Nº de Ficheros Analizados: 18557

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Eliminaste las muestras? Es raro que no las haya eliminado elibagla, comentanos saludos

[msc hotline sat]

Sí, muy apropiada tu pregunta, lucl, pues debería haberse detectado con esta versión, salvo que se hubieran borrado antes, claro !



Aclarenoslo y diganos si ya no persiste el problema y podemos dar por solucionado el Tema, gracias



saludos



ms, 24-2-2009

[stigmata33]

hola buenos dias, las muestras las elimine despues del analisis.

Ya me direis que debo hacer ahora

saludos

[msc hotline sat]

Malo, ello quiere decir que la nueva version no las detectó... ???



Voy a recuperar las muestras que nos envió y probarlas con dicha version...



            

[img]http://pics.miarroba.com/migracion/loading2.gif[/img]





Pues con la actual version el ELIBAGLA lo ha detectado y eliminado correctamente, si bien los nuevos DAT de McAfee ya lo controlan y me impedía el acceso al fichero infectado, por lo que he tenido que desactivar el antivirus para ello, quizas es lo que le pasó a Vd...




[quote] Tue Feb 24 08:40:12 2009

EliBagle v12.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "A:\"

A:\WINUPGRO.EXE.MUESTRA ELIBAGLE V12.VV24 --> Eliminado Bagle.dldr



Nº Total de Directorios: 0

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1[/quote]

Así que confirmada la deteccion y eliminacion, asunto resuelto.



Y diganos si tras reiniciar ya no persiste ninguna anomalia ni detecta nada, para poder dar el Tema por solucionado.



saludos



ms, 24-2-2009

[stigmata33]

he instalado el antivirus, nod32, me funciona bien, pero lo que me preocupa es que he pasado el trend micro online y me ha detectado Vulnerabilidades de seguridad:

MS07-023, MS07-025, MS07-036, MS07-037, MS07-042 con este mensaje: Se ha producido un error al intentar obtener más información sobre esta vulnerabilidad de seguridad. En estos momentos no podemos ofrecerle más información.



esto a que se debe? y nod32 no ha encontrado nada

[msc hotline sat]

No tiene nada que ver. Lo que indica que te faltan son parches de seguridad, lanza un windowsupdate e instala todos los criticos



No tienes porqué tener virus aunque tengas agujeros de seguridad, pero seguro que si no los parcheas, los tendrás ...



saludos



ms, 24-2-2009

[stigmata33]

gracias, entonces se puede dar el tema como terminado? o tengo que realizar alguna cosa mas?

[msc hotline sat]

Solo lanzar un windowsupdate e instalar los parches que encuentre a faltar.



Ya que loa antivirus no le encuentran ningun malware actualmente, damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 24-2-2009