Virus (no permite Restaurar o modo seguro) (SOLUCIONADO)

SerPan · Mensaje por **SerPan** » 21 Ago 2007, 14:04

Como resultado de estar haciendo pruebas con programas ejecuté un archivo de extensión exe que me ha producido :

- Pantalla negra con reinicio del sistema.

Subsiguientemente :

- Inutilización del antivirus que tenía instalado (nod32)

- Inutilización de spybot S&D

- Inutilización de Windows Defender

No afectó a :

- SpywareBlaster

- Ad-aware

No me deja restaurar a un punto anterior en la partición afectada : produce mensaje

Restauración incompleta

No se puede restaurar su equipo

No se hicieron cambios al equipo

No me deja entrar en modo seguro

No me deja instalar un nuevo antivirus

Me deja desinstalar

Me desactivó servicios de windows como :

- Actualizaciones automáticas

- Firewall

- Centro de seguridad

Tengo varias particiones y la "cosa" ha sido capaz de desactivar el antivirus en varias de ellas (sobre todo ataca a nod32, spybot y menos a windows defender).

He instalado en una partición indirectamente afectada el antivirus AVG y llega a quitarlo de residente.

He corrido antivirus online, pero parece que los efectos subsisten.

He pensado en intentar Reparar Windows xp pro con el disco original.

He pensado en remitirles un informe con hijackthis

Aparentemente no hay pérdida de datos.

Ahora estoy escaneando con Avast! .

Me gustaría escuchar sugerencias, fijar un plan de acción, acciones alternativas, etc.

Gracias compañeros.

P.D. Cualquier información que sea precisa (que no dudo que lo sea) ruego me la pidan para irla aportando.

SerPan · Mensaje por **SerPan** » 21 Ago 2007, 15:19

He analizado el archivo que me produjo todo lo anterior con un antivirus online de archivos.

El resultado fue :

Trojan-Downloader.Win32.Bagle.cu

Mensaje por **lucl** » 21 Ago 2007, 17:18

pues para el bagle no hay nada como el elibagle, pasalo y peganos el log que te dejara en C infosat.txt saludos

http://www.zonavirus.com/descargas/elibagla.asp

SerPan · Mensaje por **SerPan** » 21 Ago 2007, 19:12

Descargada la utilidad. La estoy ejecutando desde la partición D: sobre la partición C: (tengo varias veces instalado el S.O. windows xp pro).

He desactivado la opción Eliminación de ficheros automáticamente hasta estar seguro.

Los archivos que tengo detectados son srosa.sys e hidr.exe en

c:\windows\system32\drivers

Editado 21.08.2007 18.15 horas.

No entiendo. Elibagla no detecta nada en C: . Repito exploración....

Editado 21.08.2007 18.17 horas

No detecta nada. Pruebo a seguir escaneando el resto de unidades.

Editado 21.08.2007 18.23 horas

No entiendo como no detecta nada en C:. Yo tengo por el Avast! y por McCafee on line detectados sobre srosa.sys e hidr.exe el virus bagle. Avast! detectó sobre srosa.sys e McCafee sobre hidr.exe. Srosa.sys lo tengo en cuarentena en avast! . No lo detecta por eso ?

maferhi · Mensaje por **maferhi** » 21 Ago 2007, 19:46

Soy el usuario maferhi y por lo visto tengo el mismo problema que tú. He seguido los pasos que me chan dicho y por el momento no he conseguido solucionarlo.

Tengo que seguir de nuevo para ver si se encuentra la solucion.

Si la encuentro ya te avisaré y si la encuentras ya me dirás algo.

SerPan · Mensaje por **SerPan** » 21 Ago 2007, 20:12

[quote="maferhi"]Soy el usuario maferhi y por lo visto tengo el mismo problema que tú. He seguido los pasos que me chan dicho y por el momento no he conseguido solucionarlo.

Tengo que seguir de nuevo para ver si se encuentra la solucion.

Si la encuentro ya te avisaré y si la encuentras ya me dirás algo.[/quote]
Gracias maferhi. Bienvenido al clan Bagle-Beagle.

Voy a buscar tus intervenciones para ver el hilo al que te refieres y ver si puedo aprender algo y dar con la solución.

SerPan · Mensaje por **SerPan** » 21 Ago 2007, 20:53

[quote="lucl"]pues para el bagle no hay nada como el elibagle, pasalo y peganos el log que te dejara en C infosat.txt saludos

http://www.zonavirus.com/descargas/elibagla.asp[/quote]

Tue Aug 21 18:07:24 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Aug 21 18:07:45 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Aug 21 18:15:02 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Aug 21 18:17:05 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Tue Aug 21 18:27:20 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Tue Aug 21 18:39:18 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad O:\

Tue Aug 21 18:57:32 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Aug 21 18:57:50 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Exploración Detenida por el Usuario.

Tue Aug 21 18:59:09 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Aug 21 18:59:12 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Tue Aug 21 19:33:24 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Detectado AUTORUN.INF en la Unidad (M)

open=setup.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Tue Aug 21 19:34:18 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Aug 21 19:50:53 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Aug 21 19:50:58 2007

EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 22 Ago 2007, 07:44

Dice:

"No entiendo como no detecta nada en C:. Yo tengo por el Avast! y por McCafee on line detectados sobre srosa.sys e hidr.exe el virus bagle. Avast! detectó sobre srosa.sys e McCafee sobre hidr.exe. Srosa.sys lo tengo en cuarentena en avast! . No lo detecta por eso ?"

pues claro, si está en el baul ya no está activo, y posiblemente esté encriptado, y asi no lo va a detectar nadie !

De todas formas este hidr.exe que detectó McAfee, lo debiera haber detectado y eliminado el ELIBAGLA o pedido muestra para analizar si fuera nueva variante no controlada... posiblemente lo eliminaras antes de probar el ELIBAGLA, pero si todavía tienes estos ficheros, envianoslos para analizar:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y vemos que dice:

"Detectado AUTORUN.INF en la Unidad (M)

open=setup.exe "

Dinos que es esta unidad M, pues si es un port USB y tienes en él un pendrive, sería probablemente un virus de dicho tipo que habriamos de controlar, ya nos dirás qué es...

saludos

ms, 22-08-2007

SerPan · Mensaje por **SerPan** » 22 Ago 2007, 11:09

Okis jefe.

Ahora mismo acabo de devolver el adsl a otra de mis particiones tras haberla inspeccionado.

El informe que citas al final no es de elibagla, sino un intercalado de elibara que usé en pruebas en la partición donde me encontraba ayer. En ella ya logro entrar en modo de fallos y parece que no tiene problemas.

A fecha he eliminado tres archivos :

pagefile.sys en c: desde d:

srosa.sys en c: desde d:

hidr.exe en c: desde d:

Me queda por examinar la partición conflictiva inicial (donde se me paralizaron servicios, no puedo restaurar, etc) y donde a lo mejor tendré que reparar el sistema.

Ya te contaré. De momento no tengo nadita que enviar.

:roll:

UNA CONSULTA EN PARTICULAR :

Me comentas que al colocar el archivo en el baúl de Avast! el archivo queda encriptado. En el baúl de Avast! he dejado algunos otros archivos en D: detectados.

Mi pregunta es si ahora es imposible detectarlos desde cualquier otra partición o la protección sólo afecta a la partición D: desde la cual fueron inhabilitados o puestos en el baúl.

Gracias

SerPan · Mensaje por **SerPan** » 22 Ago 2007, 11:17

En cuanto al autorun.inf es de un disco que quedó metido en la unidad dvd del s.o. preparado con el sp2 incorporado bootable.

No creo que haya que hacer nada.

Lo tenía ahí por si era preciso reparar el sistema operativo.

De momento, parece que los sistemas por donde no entró el virus directamente no se encuentran afectados, pero me ha llamado mucho la atención la capacidad de este virus de inhabilitar nod32 y spybot en todas las particiones de sistema. Aterrador......

Me imagino que lo hizo en los reinicios con cambio de sistema.

Ahora cuando entre en la partición inicial conflictiva lo haré con el adsl desconectado y trataré de entrar en modo a prueba de fallos. Deshabilitaré la restauración de sistema y veré si ya puedo instalar antivirus.

Creo que debería poder entrar, pero si no fuera posible trataría de actuar desde un disco de arranque o desde la consola de recuperación.

ya me dirán algo.....

SerPan · Mensaje por **SerPan** » 22 Ago 2007, 19:55

Los intentos de entrar en modo seguro en la partición original afectada no me han dado resultado.

Estoy aplicando contramedidas desde otra partición y probablemente, como no me corre prisa este tema, me interesaría saber sobre si existen medidas automatizadas on-line para escanear la partición infectada.

Es decir :

Podría programar acciones a ejecutar a ciertas horas sobre la partición afectada ?

No me refiero a programaciones con programas instalados, sino a programaciones de programas on-line .

Es posible con alguno que conozcan ?

Gracias

SerPan · Mensaje por **SerPan** » 22 Ago 2007, 23:25

[quote="maferhi"]Soy el usuario maferhi y por lo visto tengo el mismo problema que tú. He seguido los pasos que me chan dicho y por el momento no he conseguido solucionarlo.

Tengo que seguir de nuevo para ver si se encuentra la solucion.

Si la encuentro ya te avisaré y si la encuentras ya me dirás algo.[/quote]

Maferhi he logrado entrar en la partición original conflictiva en modo a prueba de fallos. En estos momentos estoy escaneando con varios antivirus y antispywares la unidad.

El bicho ha muerto. Vivaaaaaaaaaaaaaaaaaa zonavirus.

Quedo a tu disposición para cualquier aclaración y también para buscarte cualquier info que quieras o coadyuvar en la solución a tu problema si todavía no lo has resuelto.

un abrazote

Mensaje por **msc hotline sat** » 23 Ago 2007, 07:28

Bien está lo que bien acaba !

No era mas que un Bagle y se solucionó con el ELIBAGLA al fin y al cabo...

Solucionado el problema, procedemos a cerrar el Tema

Y Maferty, si te persiste el problema, postea nuevo Tema y nos comentas la situacion, gracias

saludos

mns, 23-08-2007