Variante de Bagle en mi PC (SOLUCIONADO)

erniman · Mensaje por **erniman** » 09 Ene 2008, 12:48

Hola, como estan?

Le comento mi problema, baje un archivo creyendo que era un TFTP Server al ejecutarlo no ocurrio nada. Reinicio mi PC y me encuentro con que tardaba mucho tiempo en logearse en mi dominio de trabajo y que aplicaciones como Antivirus o PCAnywhere no podian ejecutarse por falta del archivo ejecutable .exe

Intente reinstalar el PCAnywhere por ejemplo y al llegar al momento de copiar los archivos (especialemente el .exe) me salta un anuncio que no tengo acceso para realizar esa funcion.

Reinicio la PC y trato de entrar en "Modo a Prueba de fallos" (tengo S.O Win 2003 Server) y no me deja (directamente se reinicia mi PC).

Leyendo en este genial foro encontre la herramienta EliBagle,que estoy a punto de ejecutar.

Luego les comento que resultados obtengo, pero por lo que lei hay muchas posibilidades que tenga un Bagle.

Si alguien tiene otro consejo para quitar este molesto Gusano agradeceria su comentario.

Gracias, saludos

Claudia34 · Mensaje por **Claudia34** » 09 Ene 2008, 13:23

Una vez que escanees con el elibagle, peganos el log y dinos si ha mejorado la situacion, y complementalo por la dudas con:

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Y para complementar (opcional en algunos casos):

https://foros.zonavirus.com/viewtopic.php?f=5&t=18469

Y compleméntalo posteándonos el Log del HJT:

HJT: (HiJackThis)

¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

¿Como arrancar en modo a prueba de fallos?

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Opcional:

Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.

Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Saludos.

Mensaje por **msc hotline sat** » 09 Ene 2008, 13:56

Y tras pasar el ELIBAGLA y demas ELIS... posteanos el C:\infosat.txt y si pidiera muestra por tratarse de una nueva variante no controlada (muy tipico de cada día con Bagles), envianos el fichero que se te pide segun indicaciones:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Tras recibirlo, si es el caso, lo analizaremos e informaremos.

saludos

ms, 9-1-2008

erniman · Mensaje por **erniman** » 09 Ene 2008, 17:18

Este es el resultado de lo que recomendaron realizar.

Espero sea de utilidad

Wed Jan 09 09:38:14 2008

EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Jan 09 09:52:51 2008

EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\dsalvetti\Desktop\TFTP SERVER TFTPDWIN 0.4.2.EXE --> Eliminado Bagle.dldr

C:\RECYCLER\S-1-5-21-1177238915-1202660629-1343024091-1307\Dc45\TFTP SERVER TFTPDWIN 0.4.2 (KEY).EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\drivers\down\16786281.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\16800421.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\17032359.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\2053515.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\2066125.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\2078218.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\2134984.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\275796500.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\31411031.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\31754421.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\31774984.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\360515.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\46472875.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\60757750.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\709062.EXE --> Eliminado Bagle

Nº Total de Directorios: 3967

Nº Total de Ficheros: 44727

Nº de Ficheros Analizados: 8649

Nº de Ficheros Infectados: 17

Nº de Ficheros Limpiados: 17

Wed Jan 09 10:13:00 2008

EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

F:\Utilities\TFTP SERVER TFTPDWIN 0.4.2 (KEY).ZIP --> Eliminado Bagle.dldr

F:\Utilities\TFTP SERVER TFTPDWIN 0.4.2.ZIP --> Eliminado Bagle.dldr

Nº Total de Directorios: 1277

Nº Total de Ficheros: 12405

Nº de Ficheros Analizados: 1810

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Wed Jan 09 10:55:35 2008

EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Wed Jan 09 11:10:02 2008

EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

Wed Jan 09 13:37:29 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\dsalvetti\Desktop\m32a.1\VSCINSTALLER.EXE --> Eliminado, DollarRevenue (dldr)

C:\Program Files\ESET\ESET Smart Security\Drivers\epfwtdi\EPFWTDI.SYS --> Eliminado, PWS-JA

C:\WINDOWS\system32\drivers\EPFWTDI.SYS --> Eliminado, PWS-JA

Nº Total de Directorios: 3986

Nº Total de Ficheros: 44839

Nº de Ficheros Analizados: 13952

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Wed Jan 09 13:56:59 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

F:\VoIPGroup\Customers1\Tekvoice\m3.0a.5\VSCINSTALLER.EXE --> Eliminado, DollarRevenue (dldr)

Nº Total de Directorios: 1277

Nº Total de Ficheros: 12403

Nº de Ficheros Analizados: 2777

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Wed Jan 09 14:00:08 2008

EliTriIP v4.27 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jan 09 14:00:13 2008

EliTriIP v4.27 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\VMware\VMware Workstation\pkg\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

Nº Total de Directorios: 3985

Nº Total de Ficheros: 44836

Nº de Ficheros Analizados: 13105

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Wed Jan 09 14:08:17 2008

EliTriIP v4.27 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\VoipFastSoft\PCA11.5\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

Nº Total de Directorios: 126

Nº Total de Ficheros: 980

Nº de Ficheros Analizados: 109

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Wed Jan 09 14:08:42 2008

EliTriIP v4.27 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

F:\temporal1\system32\dllcache\tftpd.exe --> Eliminado, Nachi

F:\Utilities\drivers\sound\C-MEDIA_XP_2K_ME_98(UDA038_build03L)\AUTORUN.INF --> Eliminado, BackDoor.CMQ(inf)

F:\Utilities\PCA11.5\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

Nº Total de Directorios: 1277

Nº Total de Ficheros: 12402

Nº de Ficheros Analizados: 2691

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Mensaje por **msc hotline sat** » 09 Ene 2008, 17:22

Pues tenía de todo, eh ? !

Tras reiniciar diganos si presiste alguna anomalia o si ya podemos dar por solucionado el Tema, gracias

saludos

ms, 9-1-2008

erniman · Mensaje por **erniman** » 09 Ene 2008, 18:56

Jajaja...totalmente, estaba lleno de cosas mi PC.

Efectivamente al reiniciar todo volvio a la normalidad.

Muchas gracias por su ayuda.

Saludos.

Mensaje por **msc hotline sat** » 09 Ene 2008, 19:18

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 9-1-2008