INTENTO DESCARGAR ELIBAGLA

[mayumana]

Es mi primera vez que entro en este foro, me resulta de mucho interes todo lo que he leido hasta ahora.

Os cuento: ayer tuvo que formatear mi pc, me entro un viruos que no me dejaba ejecutar los antivirus, se me desconectaron todos, no habia forma.



Opte por formatear por completo y dejarlo limpio. Lei que posiblemente se me habia infectado con un virus denominado Bagle, trate de descargarlo de algun sitio pero no hubo forma.



Quisiera disponer del Elibagla 0 similar para que en el hipotetico caso de que se repita tenerlo en mi escritorio. Ahora he visto por este foro he visto que lo podia descargar, al intentarlo mi antivirus que es el NOD32 me ha saltado una pantalla diciendo que estaba infectado.



Mi pregunta es: para tener el pc protegido y que no se me de mas este caso cual es el mejor antivirus o tambien si hay alguna variante del elibagla que sirva para lo mismo



Os quedo gratamente agradecida y espero ansiosa vuestras respuestas.



Tambien quisiera saber a donde tengo que dirigirme para ver respuestas



Un saludo

[msc hotline sat]

El ELIBAGLA es una utilidad que renovamos a diario, y que puede descargarse para pruebas de evaluacion en este foro:

(Recuerde que tiene Copyright y fuera de probar a efectos de evaluacion, solo pueden usarla los asociados a los servicios tecnicos de SATINFO)





[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





Pero recuerde siempre descargar la ultima version antes de probarlo, pues aparte de que limitamos su ejecucion a diez dias, es absurdo probar versiones no actualizadas, ya que posiblemente no conocerían la variante en cuestion.



y sobre que algun antivirus falle al analizar dicha utilidad, como otras como el tan conocido ELISTARA, es comprensible, vea lo que indicamos en: https://foros.zonavirus.com/viewtopic.php?f=5&t=26228



y recuerde que nuestras utilidades tienen checksum de comprobación de integridad, y que si estuvieran infectadas, al primer byte de diferencia, saltaría la alerta indicándolo e interrumpiría el proceso, lo cual no es el caso.



saludos



ms, 3-3-2009









nota: Pero no nos consta que el NOD32 falle al respecto... En el analisis con 39 antivirus solo 4 fallan en tal sentido:


[quote="virusTotal"]File ELIBAGLA.AB_D8CB_D8_D8I.EXE received on 03.03.2009 15:05:16 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED



Result: 4/39 (10.26%)



Antivirus Version Last Update Result

a-squared 4.0.0.101 2009.03.03 -

AhnLab-V3 5.0.0.2 2009.02.27 -

AntiVir 7.9.0.98 2009.03.03 -

Authentium 5.1.0.4 2009.03.03 -

Avast 4.8.1335.0 2009.03.02 Win32:SdBot-5262

AVG 8.0.0.237 2009.03.03 -

BitDefender 7.2 2009.03.03 -

CAT-QuickHeal 10.00 2009.03.03 -

ClamAV 0.94.1 2009.03.03 -

Comodo 1021 2009.03.03 -

DrWeb 4.44.0.09170 2009.03.03 -

eSafe 7.0.17.0 2009.03.03 Suspicious File

eTrust-Vet 31.6.6381 2009.03.03 -

F-Prot 4.4.4.56 2009.03.02 -

F-Secure 8.0.14470.0 2009.03.03 -

Fortinet 3.117.0.0 2009.03.03 -

GData 19 2009.03.03 Win32:SdBot-5262

Ikarus T3.1.1.45.0 2009.03.03 -

K7AntiVirus 7.10.656 2009.03.03 -

Kaspersky 7.0.0.125 2009.03.03 -

McAfee 5541 2009.03.02 -

McAfee+Artemis 5541 2009.03.02 -

Microsoft 1.4306 2009.03.03 -

NOD32 3904 2009.03.03 -

Norman 6.00.06 2009.03.03 -

nProtect 2009.1.8.0 2009.03.03 -

Panda 10.0.0.10 2009.03.03 -

PCTools 4.4.2.0 2009.03.03 -

Prevx1 V2 2009.03.03 -

Rising 21.19.11.00 2009.03.03 -

SecureWeb-Gateway 6.7.6 2009.03.03 -

Sophos 4.39.0 2009.03.03 Mal/NafBot-A

Sunbelt 3.2.1858.2 2009.03.02 -

Symantec 10 2009.03.03 -

TheHacker 6.3.2.6.269 2009.03.02 -

TrendMicro 8.700.0.1004 2009.03.03 -

VBA32 3.12.10.1 2009.03.03 -

ViRobot 2009.3.3.1632 2009.03.03 -

VirusBuster 4.5.11.0 2009.03.02 -

Additional information

File size: 57867 bytes

MD5...: 78193e5f774cd8f96a456f37b71afff1

SHA1..: 3f245ba5f652300c26fb4fad9b30b440a099a78f [/quote]

[mayumana]

[i][b][090303-0,

03/03/2009

[b]troyano[/b]

WIN32.SDbOT-5262[TRI]



se ha encontrado un troyano



reportar como falso positivo



http://www.zonavirus.com/datos/archivos/Descargas/Utilidades%20SATINFO/ELIBAGLA.AB%D8CB%D8%D8I.EXE[/b][/i]



************************************************************************************************



les dejo el reporter que me da mi sistema cuando intento descargar a mi pc el eligabla desde la pagina de Vds.



Quedo a la espera de sus noticias o en su defecto me indiquen donde radica el problema



saludos

[flacoroo]

bajate el elibagla desde otra maquina, la guardas en un pendrive o usb y despues la pegas a tu maquina infectada y la ejecutas.....

[msc hotline sat]

Pero prueba nuestra utilidad con tu antivirus desactivado !!!



O arrancando en modo seguro si es que puedes ... , aunque si tienes el Bagle no vas a poder por ahora :wink:



saludos



ms, 3-3-2009

[mayumana]

Tengo dos maquinas y las dos cuando intento descargar EL ELIBAGLA me dan el mesanje de "CODIGO MALICIOSO DETECTADO" he hecho una captura de pantalla, si me indican como dejar el archivo JPG se lo mando.



Asi mismo quisiera comentar lo siguiente, hoy he pasado el MALWAREBYTES ANTI-MALWARE y me ha detectado un TROJAN.VUNDO que tampoco consigo eliminar.

La ruta donde se encuentra es: C\windows\systems32\wextract.exe"



Un saludo y quedo a la espera de su respuesta









Les dejo el log resultante despues de pasar, disculpen si no es el sitio adecuado, es mi primera vez que cuelgo el log



Logfile of HijackThis v1.99.1

Scan saved at 14:29:26, on 05/03/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Spyware Doctor\pctsTray.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Spyware Doctor\TFEngine\TFService.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\notepad.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrador.DESKTOP.002\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [ISTray] "C:\Archivos de programa\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\pc tools\lsp\pctlsp.dll

O11 - Options group: [INTERNATIONAL] International*

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

O23 - Service: ThreatFire - PC Tools - C:\Archivos de programa\Spyware Doctor\TFEngine\TFService.exe




















[quote="msc hotline sat"]Pero prueba nuestra utilidad con tu antivirus desactivado !!!



O arrancando en modo seguro si es que puedes ... , aunque si tienes el Bagle no vas a poder por ahora :wink:



saludos



ms, 3-3-2009[/quote]

[msc hotline sat]

Pues dinos si has podido arrancar en modo seguro y pasar el ELIBAGLA...



Y en cualquier caso posteanos el contenido de c:\infosat.txt



y te aclaramos que el ELIBAGLA no está infectado, sino que es un falso positivo de algunos antivirus !!! (si lo estuviera, detectaría haber sido modificado)



saludos



ms, 5-3-2009

[msc hotline sat]

He ampliado este antiguo Tema que explicaba lo mismo con el ELISTARA, ya que es mas de lo mismo:



https://foros.zonavirus.com/viewtopic.php?f=5&t=26228&start=0



saludos



ms, 5-3-2009