¿DONDE ESTA EL VIRUS?

[txemary]

Buenas tardes espero que alguien me pueda ayudar. Debo tener un virus que trabaja de una forma un poco peculiar. El PC funciona , pero existen unas cuantas deficiencias ,tenia instalado el antivirus Avast home ,este a dejado de funcionar ,C Cleaner ,le paso lo mismo ,el filtro de internet Smart screen sale con un asterisco y dice que no esta disponible , el sonido de el PC desaparece y todo lo perteneciente windows media deja de funcionar asi como el Tux Guitar que tengo instalado .Como intencion de poder resolver el problema desactive varios programas e incluso desistale el antivirus para intentarlo volver a instalarlo pero fue sorprendente que cuando intentas instalar cualquier antivurus te sale mensaje de que no puede seguir pies existe error en crip o en su defecto que no existe apartado por que no se encontro y te hace desistalarlo pues no te deja avanzar con el proceso .La verdad me he pegado tres dias ya en busca de la solucion y no la encuentro ojala alguien me pueda ayudar GRACIAS

[msc hotline sat]

Está rondando un elemento que hace lo indicado, y que podría ser una variante del bagle, por lo cual de entrada descarga el ELIBAGLA actual y pruebalo:


[quote="para DESCARGAR el ELIBAGLA, msc"]


[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 28-11-2009

Ref V

[txemary]

GRACIAS en mayusculas ,por tan pronta respuesta , hare lo que me indicas pero antes crei encontrar una solucion que era descargar un antivirus en linea pero paso esto salio un mensaje (que por desgracia no se pegar en el post y voy a trancribir literalmente) :

Update has failed the program could not be stalted .Please close the window of Kaspersky on line scaner 7.0 and start the program again from the web site of kaspersky lab success full uptating of kaspersky on line scaner 7.0 and scarnning of your computer requires unniterrupter internet connetion .Please make sure that the internet connetion is establihed [ERROR:Scanning could not be started [0x80004005]]

por lo tanto reviso lo que me mandaste y ya comento luego GRACIAS

[lucl]

Pasa elibagla que seguro tienes alguno cuando te lo indica Msc y nos pegas el log de infosat.txt que tendras en C gracias

saludos.

[msc hotline sat]

Apuntamos hacía él por cumplir las pistas dadas y porque por que en la ubicación del usuario, en este lado del charco, es el que mas se centra entre los probables, pero no es el único, claro está.



De todas formas, si no se detectara una variante conocida ni se pidiera muestras para analizar, procedería probar el SPROCES y postearnos el log resultante, pero ello, como ya decimos, si el ELIBAGLA actual no detectara nada.



Esperamos noticias al respecto :wink:



saludos



ms, 29-11-2009

[txemary]

Buenas noches ya descarge el ELIBAGLA 13.25 y estoy mandando muestra de ello como dice ,despues de ejecutarlo .Seguire informando GRACIAS

[txemary]

Malware Protection Center

Threat Research and Response Sign In

Having trouble signing in?

Get the latest definitions Microsoft Forefront Microsoft Security Essentials Windows Live OneCare Windows Defender Definition change log Learn more about malware Research malware Active malware Additional tools and resources Guidance and advice News and events Research papers Security Intelligence Report Glossary MMPC blog Submit a sample Submit a sample Learn about us Who we are and what we do Awards and certifications



Home > Learn more about malware > Research Worm:Win32/Bagle.gen!C

Worm:Win32/Bagle.gen!C

Encyclopedia entry

Updated: Mar 04, 2009 | Published: Apr 25, 2008



Aliases



Win32.Bagle.SUQ@mm (BitDefender)

Email-Worm.Win32.Bagle.of (Kaspersky)

W32/Bagle.gen (McAfee)

Trojan.Tooso.R (Symantec)

Win32/Bagle.FG (CA)

:Trj/Mitglieder.RV (Panda)

Trojan.Bagle.Gen.B (Sunbelt Software)

Trojan.Tooso.R (Symantec)

WORM_BAGLE.KO (Symantec)



Alert Level (?)

Severe



Antimalware protection details

Microsoft recommends that you download the latest definitions to get protected.

Detection initially created:

Definition: 1.45.287.0

Released: Oct 07, 2008

---------------------------



On this page

Summary|Symptoms|Technical Information|Prevention|Recovery



Summary

Worm:Win32/Bagle.gen!C is the generic detection for a member of the Worm:Win32/Bagle family. It is a mass-mailer that sends out copies of itself as an attachment. It terminates and disables processes, most of which are associated with security programs.



TOP





Symptoms

System Changes

The following system changes may indicate the presence of this malware:

The presence of the following files:

hldrrr.exe

hidn2.exe

The presence of the following registry modifications:

Added value:"drv_st_key"

With data:"%AppData%\hidn\hidn2.exe"

To subkey:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

The display of the following message in Notepad:

"UTF-8 decoding error."



Top







Technical Information (Analysis)

Worm:Win32/Bagle.gen!C is the generic detection for a member of the Worm:Win32/Bagle family. It is a mass-mailer that sends out copies of itself as an attachment. It terminates and disables processes, most of which are associated with security programs.

Installation

Worm:Win32/Bagle.gen!C creates the following hidden folder in the system:

%AppData%\hidn



Within this folder, it drops the following files:

hldrrr.exe - copy of itself

hidn2.exe - copy of itself

m_hook.sys - device driver used to hide the worm processes, folders, and files



It also drops the following file:

%SystemDrive%\error.txt - contains the text "UTF-8 decoding error."



It launches this file using Notepad in an attempt to distract the user.



It then modifies the system registry so that it automatically runs every time Windows starts:



Adds value:"drv_st_key"

With data:"%AppData%\hidn\hidn2.exe"

To subkey:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



It also creates the following subkey and entry:



Adds value:"FirstRu21n"

With data:"1"

To subkey:HKCU\Software\FirstRuxzx

Spreads Via...

Mass Mailing

Worm:Win32/Bagle.gen!C spreads by sending a copy of itself as an executable attachment in an email. The email it arrives in may have the following properties:



Subject: (Begins with any of the following, appended by the current date)

price_new

price_

price

new

price



Attachment name: (Begins with any of the following, appended by the current date)

price_new

price_

price

new

price



Message body:

It Is Protected

thank you !!!

New year's discounts



It downloads addresses to send itself to from the following sites:



accesible.cl/1/eml.php

amdlady.com/1/eml.php

auraura.com/1/eml.php

avataresgratis.com/1/eml.php

beyoglu.com.tr/1/eml.php

brandshock.com/1/eml.php

buydigital.co.kr/1/eml.php

c-d-c.com.au/1/eml.php

camaramafra.sc.gov.br/1/eml.php

camposequipamentos.com.br/1/eml.php

cbradio.sos.pl/1/eml.php

coparefrescos.stantonstreetgroup.com/1/eml.php

creainspire.com/1/eml.php

desenjoi.com.br/1/eml.php

diem.cl/1/eml.php

discotecapuzzle.com/1/eml.php

hotelesalba.com/1/eml.php

inca.dnetsolution.net/1/eml.php

inprofile.gr/1/eml.php

klanpl.com/1/eml.php

titanmotors.com/images/1/eml.php

veranmaisala.com/1/eml.php

wklight.nazwa.pl/1/eml.php

yongsan24.co.kr/1/eml.php



It can also gather email addresses from files with the following extensions:



.adb

.asp

.cfg

.cgi

.dbx

.dhtm

.eml

.htm

.jsp

.mbx

.mdx

.mht

.mmf

.msg

.nch

.ods

.oft

.php

.pl

.sht

.shtm

.stm

.tbb

.txt

.uin

.wab

.wsh

.xls

.xml



It does not send itself out to addresses that contain the following strings:



@avp.

@foo

@iana

@messagelab

abuse

admin

anyone@

bsd

bugs@

cafee

certific

contract@

f-secur

feste

free-av

gold-certs@

google

help@

icrosoft

info@

kasp

linux

listserv

local

news

nobody@

noone@

noreply

ntivi

panda

pgp

postmaster@

rating@

root@

samples

sopho

spam

support

unix

update

winrar

winzip

Payload

Terminates Processes

Worm:Win32/Bagle.gen!C terminates the following processes, most of which are associated with security and antivirus processes:



_AVP32.EXE

_AVPCC.EXE

_AVPM.EXE

a2guard.exe

aavshield.exe

AckWin32.exe

ADVCHK.EXE

AhnSD.exe

airdefense.exe

ALERTSVC.EXE

ALMon.exe

ALOGSERV.EXE

ALsvc.exe

amon.exe

Anti-Trojan.exe

AntiVirScheduler

AntiVirService

ANTS.EXE

APVXDWIN.EXE

Armor2net.exe

ashAvast.exe

ashDisp.exe

ashEnhcd.exe

ashMaiSv.exe

ashPopWz.exe

ashServ.exe

ashSimpl.exe

ashSkPck.exe

ashWebSv.exe

aswUpdSv.exe

ATCON.EXE

ATUPDATER.EXE

ATWATCH.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

avciman.exe

Avconsol.exe

AVENGINE.EXE

avgamsvr.exe

avgcc.exe

AVGCC32.EXE

AVGCTRL.EXE

avgemc.exe

avgfwsrv.exe

AVGNT.EXE

avgntdd

avgntmgr

AVGSERV.EXE

AVGUARD.EXE

avgupsvc.exe

avinitnt.exe

AvkServ.exe

AVKService.exe

AVKWCtl.exe

AVP.EXE

AVP32.EXE

avpcc.exe

avpm.exe

AVPUPD.EXE

AVSCHED32.EXE

avsynmgr.exe

AVWUPD32.EXE

AVWUPSRV.EXE

AVXMONITOR9X.EXE

AVXMONITORNT.EXE

AVXQUAR.EXE

BackWeb-4476822.exe

bdmcon.exe

bdnews.exe

bdoesrv.exe

bdss.exe

bdsubmit.exe

bdswitch.exe

blackd.exe

blackice.exe

cafix.exe

ccApp.exe

ccEvtMgr.exe

ccProxy.exe

ccSetMgr.exe

CFIAUDIT.EXE

ClamTray.exe

ClamWin.exe

Claw95.exe

Claw95cf.exe

cleaner.exe

cleaner3.exe

CliSvc.exe

CMGrdian.exe

cpd.exe

DefWatch.exe

DOORS.EXE

DrVirus.exe

drwadins.exe

drweb32w.exe

drwebscd.exe

DRWEBUPW.EXE

ESCANH95.EXE

ESCANHNT.EXE

ewidoctrl.exe

EzAntivirusRegistrationCheck.exe

F-AGNT95.EXE

F-PROT95.EXE

F-Sched.exe

F-StopW.EXE

FAMEH32.EXE

FAST.EXE

FCH32.EXE

FireSvc.exe

FireTray.exe

FIREWALL.EXE

fpavupdm.exe

freshclam.exe

FRW.EXE

fsav32.exe

fsavgui.exe

fsbwsys.exe

fsdfwd.exe

FSGK32.EXE

fsgk32st.exe

fsguiexe.exe

FSM32.EXE

FSMA32.EXE

FSMB32.EXE

fspex.exe

fssm32.exe

gcasDtServ.exe

gcasServ.exe

GIANTAntiSpywareMain.exe

GIANTAntiSpywareUpdater.exe

GUARD.EXE

GUARDGUI.EXE

GuardNT.exe

hidn.exe

hidn1.exe

HRegMon.exe

Hrres.exe

HSockPE.exe

HUpdate.EXE

iamapp.exe

iamserv.exe

ICLOAD95.EXE

ICLOADNT.EXE

ICMON.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

IFACE.EXE

INETUPD.EXE

InocIT.exe

InoRpc.exe

InoRT.exe

InoTask.exe

InoUpTNG.exe

IOMON98.EXE

isafe.exe

ISATRAY.EXE

ISRV95.EXE

ISSVC.exe

JEDI.EXE

KAV.exe

kavmm.exe

KAVPF.exe

KavPFW.exe

KAVStart.exe

KAVSvc.exe

KAVSvcUI.EXE

KMailMon.EXE

KPfwSvc.EXE

KWatch.EXE

livesrv.exe

LOCKDOWN2000.EXE

LogWatNT.exe

lpfw.exe

LUALL.EXE

LUCOMSERVER.EXE

Luupdate.exe

MCAGENT.EXE

mcmnhdlr.exe

mcregwiz.exe

Mcshield.exe

MCUPDATE.EXE

mcvsshld.exe

MINILOG.EXE

MONITOR.EXE

MonSysNT.exe

MOOLIVE.EXE

MpEng.exe

mpssvc.exe

MSMPSVC.exe

myAgtSvc.exe

myagttry.exe

navapsvc.exe

NAVAPW32.EXE

NavLu32.exe

NAVW32.EXE

NDD32.EXE

NeoWatchLog.exe

NeoWatchTray.exe

NISSERV

NISUM.EXE

NMAIN.EXE

nod32.exe

nod32krn.exe

nod32kui.exe

NORMIST.EXE

notstart.exe

npavtray.exe

NPFMNTOR.EXE

npfmsg.exe

NPROTECT.EXE

NSCHED32.EXE

NSMdtr.exe

NssServ.exe

NssTray.exe

ntrtscan.exe

NTXconfig.exe

NUPGRADE.EXE

NVC95.EXE

Nvcod.exe

Nvcte.exe

Nvcut.exe

NWService.exe

OfcPfwSvc.exe

OUTPOST.EXE

PAV.EXE

PavFires.exe

PavFnSvr.exe

Pavkre.exe

PavProt.exe

pavProxy.exe

pavprsrv.exe

pavsrv51.exe

PAVSS.EXE

pccguide.exe

PCCIOMON.EXE

pccntmon.exe

PCCPFW.exe

PcCtlCom.exe

PCTAV.exe

PERSFW.EXE

pertsk.exe

PERVAC.EXE

PNMSRV.EXE

POP3TRAP.EXE

POPROXY.EXE

prevsrv.exe

PsImSvc.exe

QHM32.EXE

QHONLINE.EXE

QHONSVC.EXE

QHPF.EXE

qhwscsvc.exe

RavMon.exe

RavTimer.exe

Realmon.exe

REALMON95.EXE

Rescue.exe

rfwmain.exe

Rtvscan.exe

RTVSCN95.EXE

RuLaunch.exe

SAVAdminService.exe

SAVMain.exe

savprogress.exe

SAVScan.exe

SCAN32.EXE

ScanningProcess.exe

sched.exe

sdhelp.exe

SERVIC~1.EXE

SHSTAT.EXE

SiteCli.exe

smc.exe

SNDSrvc.exe

SPBBCSvc.exe

SPHINX.EXE

spiderml.exe

spidernt.exe

Spiderui.exe

SpybotSD.exe

SPYXX.EXE

SS3EDIT.EXE

stopsignav.exe

swAgent.exe

swdoctor.exe

SWNETSUP.EXE

symlcsvc.exe

SymProxySvc.exe

SymSPort.exe

SymWSC.exe

SYNMGR.EXE

TAUMON.EXE

TBMon.exe

TC.EXE

tca.exe

TCM.EXE

TDS-3.EXE

TeaTimer.exe

TFAK.EXE

THAV.EXE

THSM.EXE

Tmas.exe

tmlisten.exe

Tmntsrv.exe

TmPfw.exe

tmproxy.exe

TNBUtil.exe

TRJSCAN.EXE

Up2Date.exe

UPDATE.EXE

UpdaterUI.exe

upgrepl.exe

Vba32ECM.exe

Vba32ifs.exe

vba32ldr.exe

Vba32PP3.exe

VBSNTW.exe

vchk.exe

vcrmon.exe

VetTray.exe

VirusKeeper.exe

VPTRAY.EXE

vrfwsvc.exe

VRMONNT.EXE

vrmonsvc.exe

vrrw32.exe

VSECOMR.EXE

Vshwin32.exe

vsmon.exe

vsserv.exe

VsStat.exe

WATCHDOG.EXE

WebProxy.exe

Webscanx.exe

WEBTRAP.EXE

WGFE95.EXE

Winaw32.exe

winroute.exe

winss.exe

winssnotify.exe

WRADMIN.EXE

WRCTRL.EXE

xcommsvr.exe

zatutor.exe

ZAUINST.EXE

zlclient.exe

zonealarm.exe



Disables Services

Worm:Win32/Bagle.gen!C disables services with the following names, most of which are associated with the system and with various security programs:



Aavmker4

ABVPN2K

ADBLOCK.DLL

ADFirewall

AFWMCL

AhnlabtaskScheduler

alerter

AlertManger

AntiVirService

AntiyFirewall

ARP.DLL

aswMon2

aswRdr

aswTdi

aswUpdSv

AtiHotKeyPoller

avast!Antivirus

avast!MailScanner

avast!WebScanner

AVEService

AVExch32Service

AvFlt

Avg7Alrt

Avg7Core

Avg7RsW

Avg7RsXP

Avg7UpdSvc

AvgCore

AvgFsh

AVGFwSrv

AvgFwSvr

AvgServ

AvgTdi

AVIRAMailService

AVIRAService

avpcc

AVUPDService

AVWUpSrv

AvxIni

awhost32

backwebclient-4476822

BackWebClient-7681197

Bdfndisf

bdftdif

bdss

BlackICE

BsFileSpy

BsFirewall

BsMailProxy

CAISafe

ccEvtMgr

ccPwdSvc

ccSetMgr

ccSetMgr.exe

CONTENT.DLL

DefWatch

DNSCACHE.DLL

drwebnet

dvpapi

dvpinit

ewidosecuritysuitecontrol

ewidosecuritysuitedriver

ewidosecuritysuiteguard

F-ProtAntivirusUpdateMonitor

F-SecureGatekeeperHandlerStarter

firewall

fsbwsys

FSDFWD

FSFW

FSMA

FTPFILT.DLL

FwcAgent

fwdrv

GuardNT

HSnSFW

HSnSPro

HTMLFILT.DLL

HTTPFILT.DLL

IMAPFILT.DLL

InoRPC

InoRT

InoTask

Ip6Fw

Ip6FwHlp

KAVMonitorService

KAVSvc

KLBLMain

KPfwSvc

KWatch3

KWatchSvc

MAILFILT.DLL

McAfeeFirewall

McAfeeFramework

McShield

McTaskManager

mcupdmgr.exe

MCVSRte

MicrosoftNetWorkFireWallServices

MonSvcNT

MpfService

navapsvc

NDIS_RD

Ndisuio

NetworkAssociatesLogService

nipsvc

NISSERV

NISUM

NNTPFILT.DLL

NOD32ControlCenter

NOD32krn

NOD32Service

NormanNJeeves

NormanType-R

NormanZANDA

NortonAntiVirusServer

NPDriver

NPFMntor

NProtectService

NSCTOP

nvcoas

NVCScheduler

nwclntc

nwclntd

nwclnte

nwclntf

nwclntg

nwclnth

NWService

OfcPfwSvc

OutbreakManager

OutpostFirewall

PASSRV

PAVAGENTE

PavAtScheduler

PAVDRV

PAVFIRES

PAVFNSVR

Pavkre

PavProc

PavProt

PavPrSrv

PavReport

PAVSRV

PCC_PFW

PCCPFW

PersFW

PersonalFirewall

POP3FILT.DLL

PREVSRV

PROTECT.DLL

PSIMSVC

qhwscsvc

QuickHealOnlineProtection

ravmon8

RfwService

SAVFMSE

SAVScan

SBService

schscnt

SECRET.DLL

SharedAccess

SmcService

SNDSrvc

SPBBCSvc

SpiderNT

SweepNet

SWEEPSRV.SYS

SymantecAntiVirusClient

SymantecCoreLC

T_H_S_M

The_Hacker_Antivirus

tm_cfw

Tmntsrv

TmPfw

tmproxy

tmtdi

V3MonNT

V3MonSvc

Vba32ECM

Vba32ifs

Vba32Ldr

Vba32PP3

VBCompManService

VexiraAntivirus

VFILT

VisNeticAntiVirusPlug-in

vrfwsvc

vsmon

VSSERV

WinAntivirus

WinRoute

wscsvc

wuauserv

xcomm



Downloads and Executes Files

Worm:Win32/Bagle.gen!C downloads the file '999.gif' from the following websites:



1point2.iae.nl

5050clothing.com

ag.ohio-state.edu

appaloosa.no

apromed.com

arborfolia.com

areal-realt.ru

art-bizar.foxnet.pl

art4u1.superhost.pl

artbed.pl

asdesign.cz

aureaorodeley.com

autoekb.ru

autovorota.ru

avenue.ee

axelero.hu

bartex-cit.com.pl

bazarbekr.sk

bid-usa.com

biliskov.com

biomedpel.cz

bitel.ru

blackbull.cz

bohuminsko.cz

bonsai-world.com.au

bpsbillboards.com

cadinformatics.com

calamarco.com

canecaecia.com

castnetnultimedia.com

ceramax.co.kr

chapisteriadaniel.com

charlesspaans.com

chatsk.wz.cz

checkalertusa.com

chittychat.com

cibernegocios.com.ar

cof666.shockonline.net

comaxtechnologies.net

compucel.com

concellodesandias.com

continentalcarbonindia.com

cort.ru

crfj.com

dev.jintek.com

dogoodesign.ch

donchef.com

e-donaueschingen.de

foxvcoin.com

ftp-dom.earthlink.net

gnu.univ.gda.pl

grupdogus.de

gushi.org

hotchillishop.de

ilikesimple.com

innovation.ojom.net

jonogueira.com

kersten.de

kisalfold.com

kljbwadersloh.de

knickimbit.de

kremz.ru

massgroup.de

ouarzazateservices.com

pawlacz.com

poliklinika-vajnorska.sk

stats-adf.altadis.com

svatba.viskot.cz

systemforex.de

ujscie.one.pl

uwua132.org

v-v-kopretiny.ic.cz

vanvakfi.com

vega-sps.com

vidus.ru

viralstrategies.com

Vivamodelhobby.com

vkinfotech.com

voov.de

vproinc.com

vytukas.com

waisenhaus-kenya.ch

walsch.de

watsrisuphan.org

wbecanada.com

wchat.cz

web-comp.hu

webfull.com

welvo.com

wg-aufbau-bautzen.de

wvpilots.org

wzhuate.com

xotravel.ru

yeniguntugla.com

yetii.no-ip.com

zebrachina.net

zsnabreznaknm.sk



Analysis by Neno Lakinski



Top



--------------------------------------------------------------------------------





Prevention

Take the following steps to help prevent infection on your system:

Enable a firewall on your computer.

Get the latest computer updates for all your installed software.

Use up-to-date antivirus software.

Use caution when opening attachments and accepting file transfers.

Use caution when clicking on links to web pages.

Avoid downloading pirated software.

Protect yourself against social engineering attacks.

Use strong passwords.

Enable a firewall on your computer

Use a third-party firewall product or turn on the Microsoft Windows Internet Connection Firewall.

To turn on the Windows Firewall in Windows Vista

Click Start, and click Control Panel.

Click Security.

Click Turn Windows Firewall on or off.

Select On.

Click OK.

To turn on the Internet Connection Firewall in Windows XP

Click Start, and click Control Panel.

Click Network and Internet Connections. If you do not see Network and Internet Connections, click Switch to Category View.

Click Change Windows Firewall Settings.

Select On.

Click OK.

Get the latest computer updates

Updates help protect your computer from viruses, worms, and other threats as they are discovered. It is important to install updates for all the software that is installed in your computer. These are usually available from vendor websites.



You can use the Automatic Updates feature in Windows to automatically download future Microsoft security updates while your computer is on and connected to the Internet.

To turn on Automatic Updates in Windows Vista

Click Start, and click Control Panel.

Click System and Maintainance.

Click Windows Updates.

Select a setting. Microsoft recommends selecting Install updates automatically and choose a time that is convenient for you. If you do not choose Automatic, but you choose to be notified when updates are ready, a notification balloon appears when new downloads are available to install. Click the notification balloon to review and install the updates.

To turn on Automatic Updates in Windows XP

Click Start, and click Control Panel.

Click System.

Click Automatic Updates.

Select a setting. Microsoft recommends selecting Automatic. If you do not choose Automatic, but you choose to be notified when updates are ready, a notification balloon appears when new downloads are available to install. Click the notification balloon to review and install the updates.

Use up-to-date antivirus software

Most antivirus software can detect and prevent infection by known malicious software. To help protect you from infection, you should always run antivirus software that is updated with the latest signature files. Antivirus software is available from several sources. For more information, see http://www.microsoft.com/protect/computer/viruses/vista.mspx.

Use caution when opening attachments and accepting file transfers

Exercise caution with e-mail and attachments received from unknown sources, or received unexpectedly from known sources. Use extreme caution when accepting file transfers from known or unknown sources.

Use caution when clicking on links to web pages

Exercise caution with links to web pages that you receive from unknown sources, especially if the links are to a web page that you are not familiar with or are suspicious of. Malicious software may be installed in your system simply by visiting a web page with harmful content.

Avoid downloading pirated software

Threats may also be bundled with software and files that are available for download on various torrent sites. Downloading "cracked" or "pirated" software from these sites carries not only the risk of being infected with malware, but is also illegal. For more information, see 'The risks of obtaining and using pirated software'.

Protect yourself from social engineering attacks

While attackers may attempt to exploit vulnerabilities in hardware or software in order to compromise a system, they also attempt to exploit vulnerabilities in human behavior in order to do the same. When an attacker attempts to take advantage of human behavior in order to persuade the affected user to perform an action of the attacker's choice, it is known as 'social engineering'. Essentially, social engineering is an attack against the human interface of the targeted system. For more information, see 'What is social engineering?'.

Use Strong Passwords

Attackers may try to gain access to your Windows account by guessing your password. It is therefore important that you use a strong password – one that cannot be easily guessed by an attacker. A strong password is one that has at least 8 characters, and combines letters, numbers, and symbols. For more information, see http://www.microsoft.com/protect/yourself/password/create.mspx.



Top



Recovery

Manual removal is not recommended for this threat. To detect and remove this threat and other malicious software that may have been installed, run a full-system scan with an up-to-date antivirus product such as the Microsoft online scanner (http://safety.live.com). For more information, see http://www.microsoft.com/protect/computer/viruses/vista.mspx.



Top

[txemary]

Siento poner un post tan largo pero me parecio interesante pues esta relacionado con un gusano BAGLE

esto estaba en C:\WINDOWS\mdelk.exe y C:\WINDOWS\wintems.exe aparte de este gusano lleva consigo un troyano del cual mando informacion de MICROSOFT que creo pueda hacer falta ,espero no haber sido muy pesado y MUCHAS GRACIAS se que mucha ayuda no puedo aportar pues no soy un experto y que recibo mas de lo que doy

[txemary]

Malware Protection Center

Threat Research and Response Sign In

Having trouble signing in?

Get the latest definitions Microsoft Forefront Microsoft Security Essentials Windows Live OneCare Windows Defender Definition change log Learn more about malware Research malware Active malware Additional tools and resources Guidance and advice News and events Research papers Security Intelligence Report Glossary MMPC blog Submit a sample Submit a sample Learn about us Who we are and what we do Awards and certifications











Home > Learn more about malware > Research TrojanDownloader:Win32/Bagle.gen!A

TrojanDownloader:Win32/Bagle.gen!A

Encyclopedia entry

Published: Aug 07, 2009



Aliases

Not available



Alert Level (?)

High



Antimalware protection details

Microsoft recommends that you download the latest definitions to get protected.

Detection initially created:

Definition: 1.63.1122.0

Released: Aug 07, 2009









--------------------------------------------------------------------------------





Summary

This threat is classified as a Trojan - Downloader. A downloader trojan accesses remote websites in an attempt to download and install malicious or potentially unwanted software. Some downloader trojans target specific files on remote websites while others may target a specific URL that points to a website containing exploit code that may allow the site to automatically download and software or malicious code on vulnerable systems. This threat is detected by the Microsoft antivirus engine. Technical details are not currently available.





More details are available in the Family description of Win32/Bagle



Top

[txemary]

Siento poner un post tan largo pero me parecio interesante pues esta relacionado con un gusano BAGLE

esto estaba en C:\WINDOWS\mdelk.exe y C:\WINDOWS\wintems.exe aparte de este gusano lleva consigo un troyano del cual mando informacion de MICROSOFT que creo pueda hacer falta ,espero no haber sido muy pesado y MUCHAS GRACIAS se que mucha ayuda no puedo aportar pues no soy un experto y que recibo mas de lo que doy

[msc hotline sat]

Gracias, pero hay cientos de variantes de Bagle, y esta que tienes es una nueva variante, por esto el ELIBAGLA ha pedido que nos envies muestra para analizar



Si ya lo has hecho, la analizaremos e implementaremos su control y eliminacion en el ELIBAGLA DE hoy, como cada día implementamos las que van apareciendo.



espero que siguieras para el envio las indicaciones al respecto:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 30-11-2009

[txemary]

Buenos dias creo que esta mandado pues en la carpeta de muestras que aparecio en C se encuentra vacia no se si eso es lo normal ,el PC sigue funcionando lo que me preocupa es que SmartScreen no se queda activo para las descargas y que TUX GUITAR esta sin sonido ,aparte que el antivirus detecta un BAGLE en WIN 32 que no consigo encontrar y que ELIBABLA 13.25 no elimina GRACIAS

[msc hotline sat]

Si el infosat pide enviar muestras, estas deben estar en C:\muestras\ y se deben empaquetar en un ZIP o RAR con password virus y enviarnoslas, conforme indicado en mi anterior post (ver el link).



Si no hay nada en C:\muestras, es que algo o alguien lo ha borrado, ya que dicha carpeta la crean nuestras utilidades cuando piden el envio de alguna muestra para analizar, copiando en su interior dichos ficheros, claro.



Pero ante todo lo que no vemos es el informe al respecto, abra el fichero C:\infosat.txt con el bloc de notas, seleccione todo su contenido y copielo/peguelo en el próximo post de respuesta a este Tema, que es lo que siempre pedimos que se haga tras probar nuestras utilidades... y no vemos que lo haya hecho.




[quote="msc"]
[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 1-12-2009

[txemary]

(29-11-2009 21:49:47)

EliBagle v13.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\HIDIRES\FLEC003.EXE --> Bagle.dldr Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\SROSA2.SYS --> Eliminado Bagle(rootkit)

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\100734.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\102828.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\104000.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\104390.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\104531.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\104640.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\104984.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\105015.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\106265.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\107296.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\109125.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\109375.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\111953.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\112578.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\115500.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\115843.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\118046.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\120453.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\121656.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\122312.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\122328.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\123015.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\124109.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\126078.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\128765.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\129750.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\131703.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\135312.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\138109.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\138375.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\140937.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\142765.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\143546.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\147875.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\14878109.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\14888015.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\14902921.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\14907328.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\149421.EXE --> Eliminado Bagle.dldr

Por favor, envienos una muestra del fichero

C:\Muestras\14978609.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\14978609.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\14997312.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15007468.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\15011328.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15011328.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15014578.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15024953.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15028734.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15030015.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15056593.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15073296.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15080843.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15106968.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15267734.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15294656.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15329984.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15396531.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\15406593.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\154765.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\156531.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\157203.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\157906.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\158406.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\158750.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\160093.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\161609.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\162359.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\167156.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\167765.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\179265.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\181609.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\186562.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\190046.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\199031.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\205500.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\211171.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\214796.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\218109.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\219562.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\234828.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\249187.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\254375.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\29722109.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\29722109.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\29735687.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\29772000.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\29775687.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\30655234.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\30655234.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\30679140.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\30717109.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\30735984.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\30765609.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\30898281.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\3094953.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\3094953.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\30966421.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\3107156.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\31101656.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\3151375.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\3156625.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\348546.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\362234.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\376718.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\44515296.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\44525640.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\44542437.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\44546625.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\46149843.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\46149843.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\46171718.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\46234656.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\46244171.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\5466796.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\5484562.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\5512343.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\5523406.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\59280500.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\59290890.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\59306921.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\59310703.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\66437.EXE --> Eliminado Bagle(drzip)

Por favor, envienos una muestra del fichero

C:\Muestras\68171.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\68171.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\69687.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\70593.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\74034937.EXE --> Eliminado Bagle(drzip)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\74048343.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\74065750.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\77968.EXE --> Eliminado Bagle(drzip)

Por favor, envienos una muestra del fichero

C:\Muestras\78000.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\78000.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\78968.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\78968.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\82406.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\84812.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\85531.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\85531.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\85593.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\85593.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\86406.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\86406.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\86875.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\86906.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\89171.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\89593.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\89890.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\92421.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\92421.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\92750.EXE --> Eliminado Bagle(drzip)

Por favor, envienos una muestra del fichero

C:\Muestras\93906.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\93906.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\97125.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\DOWNLD\97421.EXE --> Eliminado Bagle

Entrada Eliminada [HKCU\...\Run] "flec003.exe"="C:\Documents and Settings\Jose María\Datos de programa\hidires\flec003.exe"

Eliminado Servicio, "srosa"

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(29-11-2009 22:16:16)

EliBagle v13.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10295

Nº Total de Ficheros: 137826

Nº de Ficheros Analizados: 17328

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(29-11-2009 22:25:24)

EliBagle v13.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\HIDIRES\FLEC003.EXE --> Eliminado Bagle.dldr

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.25

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Eliminado Bagle(rootkit)

C:\DOCUMENTS AND SETTINGS\JOSE MARíA\DATOS DE PROGRAMA\M\FLEC006.EXE --> Eliminado Bagle.dldr

Entrada Eliminada [HKCU\...\Run] "drvsyskit"="C:\Documents and Settings\Jose María\Datos de programa\drivers\winupgro.exe"

Entrada Eliminada [HKCU\...\Run] "german.exe"="C:\WINDOWS\wintems.exe"

Entrada Eliminada [HKCU\...\Run] "mule_st_key"="C:\Documents and Settings\Jose María\Datos de programa\m\flec006.exe"



(30-11-2009 10:1:42)

EliBagle v13.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%AppData%\Drivers"

Eliminada Carpeta "%AppData%\Hidires"

Eliminada Carpeta "%AppData%\M"



(30-11-2009 10:4:49)

EliBagle v13.25 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10226

Nº Total de Ficheros: 137735

Nº de Ficheros Analizados: 17476

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[txemary]

La verdad que siento tanta torpeza ¿no puedo ralizar cortar y pegar?

[msc hotline sat]

Ya está subida la 13.26 del ELIBAGLA, pruebala que igual ya controlamos esta variante, y sino, envianos los ficheros que se te piden, para analizarlos y controlaros en la version de mañana:



Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\14978609.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\15011328.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\29722109.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\30655234.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\3094953.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\46149843.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\68171.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\78000.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\78968.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\85531.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\85593.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\86406.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\92421.EXE.Muestra EliBagle v13.25



Por favor, envienos una muestra del fichero

C:\Muestras\93906.EXE.Muestra EliBagle v13.25



En definitiva, todos los que tienes en C:\muestras\.





Pero de momento ya puedes trabajar, el virus ya está "aparcado"



saludos



ms, 1-12-2009





Nota: en cualquier caso, como ya sabes, posteanos el informe resultante de la 13.26, gracias.