ayuda alguien sabe como se elimina????
me deja sin antivirus y algun programa mas
tengo a bagle.lr worm
Prueba primero con esta utilidad que te dejo con enlace a dicho programa, y peganos el log que te deja en C:/InfoSat.txt,
Y para ver si hay otros marranos prueba las siguientes utilidades:
Descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.
Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt
http://www.zonavirus.com/descargas/elitriip.asp
Y para complementar (opcional en algunos casos):
https://foros.zonavirus.com/viewtopic.php?f=5&t=18469
Y compleméntalo posteándonos el Log del HJT:
HJT: (HiJackThis)
¿Como utilizar el Hijackthis?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
• Descargar Hijackthis del siguiente enlace:http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp
Tras analizarlo, informaremos.
Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.
Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.
¿Como arrancar en modo a prueba de fallos?
http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp
Opcional:
Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.
Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:
https://www.virustotal.com/es/
https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//
Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.
Y te dejo tambien otro enlace para que lo disfrutes:
http://www.zonavirus.com/antivirus-on-line/
Saludos.
Y para ver si hay otros marranos prueba las siguientes utilidades:
Descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:
ELISTARA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.
Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt
Y para complementar (opcional en algunos casos):
Y compleméntalo posteándonos el Log del HJT:
HJT: (HiJackThis)
¿Como utilizar el Hijackthis?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
• Descargar Hijackthis del siguiente enlace:
Tras analizarlo, informaremos.
Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.
Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.
¿Como arrancar en modo a prueba de fallos?
Opcional:
Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.
Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:
Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.
Y te dejo tambien otro enlace para que lo disfrutes:
Saludos.
Reglas para estar aunque sea un 40% mas seguro en internet: "navegar con usuario limitado, tener 1 antispyware, 1 cortafuegos (por hardware), 1 antivirus,1 IDS y 1 HIPS en la pc actualizados, realizar un escaneo semanalmente con 7 antivirus online, usar site advisor, informarse diariamente de los temas de seguridad informatica, deshabilitar algunos servicios innecesarios de windows xp, analizar los archivos con virus total antes de abrirlos, utilizar algunas herramientas antimalware y antirootkit gratuitas para escaneo semanalmente, tener un poco de paranoia al navegar por internet (no confiar casi en nadie), utilizar un navegador que no tenga muchos agujeros de seguridad, hacer una copia de seguridad de los datos regularmente, tener actualizados todos los softwares en la pc ademas del S.O., no dar datos privados al navegar, utilizar una fuerte y compleja contraseña para todos los usuarios en la pc, cambiar las contraseñas cada poco tiempo, utilizar elipen, etc., etc." .
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
A ver, que nuestra amiga Claudia ha tenido un lapsus, como todos podemos tener !
El Bagle merece un tratamiento especial, y debe probarse para el la utilidaed ELIBAGLA:
ELIBAGLA:
http://www.zonavirus.com/descargas/elibagla.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 18-1-2008
NOTA: Y revisando el post anterior, creo que a Claudia se le olvidó pegar entre los dos primeros parrafos el link al ELIBAGLA, pues parece faltar, y lo demas que sigue es complementario:
En cualquier caso tampoco le habrá hecho ningun daño, sino quizas encontró otras hierbas y todo:wink: ms.
El Bagle merece un tratamiento especial, y debe probarse para el la utilidaed ELIBAGLA:
ELIBAGLA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 18-1-2008
NOTA: Y revisando el post anterior, creo que a Claudia se le olvidó pegar entre los dos primeros parrafos el link al ELIBAGLA, pues parece faltar, y lo demas que sigue es complementario:
[quote="Claudia34"]Prueba primero con esta utilidad que te dejo con enlace a dicho programa, y peganos el log que te deja en C:/InfoSat.txt,[b][i]AQUI PARECE QUE SE LE OLVIDO PEGAR EL LINK DEL ELIBAGLA[/i] [/b]
Y para ver si hay otros marranos prueba las siguientes utilidades:[/quote]
En cualquier caso tampoco le habrá hecho ningun daño, sino quizas encontró otras hierbas y todo
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
hola de momento pego el infosat, luego me comentais si sigo los pasos del primer post
Fri Jan 18 16:09:54 2008
EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Fri Jan 18 16:12:03 2008
EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 4494
Nº Total de Ficheros: 53618
Nº de Ficheros Analizados: 8147
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0
Fri Jan 18 16:09:54 2008
EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Fri Jan 18 16:12:03 2008
EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 4494
Nº Total de Ficheros: 53618
Nº de Ficheros Analizados: 8147
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pruebalo arrancando en modo segur0, que ahora espero que ya puedas, espero.
y nos comentas el resultado, gracias
saludos
ms, 18-1-2008
y nos comentas el resultado, gracias
saludos
ms, 18-1-2008
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Resultado del scan, no tiene buena pinta
KASPERSKY ONLINE SCANNER INFORME
viernes, 18 de enero de 2008 17:02:25
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 18/01/2008
Registros en la base antivirus: 488012
Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero
Objetivo a analizar Áreas críticas
C:\WINDOWS
C:\DOCUME~1\oscar\CONFIG~1\Temp\
Estadísticas
Número de objeros analizados 15151
Virus encontrados 2
Objetos infectados 7 / 0
Objetos sospechosos 0
Duración del análisis 00:11:23
Bombre del objeto infectado Nombre del virus Última acción
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\system32\config\Antiviru.evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado
C:\WINDOWS\system32\config\OSession.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\down\26728734.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\72546.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\83203.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\90093.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\90421.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\mdelk.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\system32\wintems.exe Infectados: Email-Worm.Win32.Bagle.of saltado
Análisis completado.
KASPERSKY ONLINE SCANNER INFORME
viernes, 18 de enero de 2008 17:02:25
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 18/01/2008
Registros en la base antivirus: 488012
Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero
Objetivo a analizar Áreas críticas
C:\WINDOWS
C:\DOCUME~1\oscar\CONFIG~1\Temp\
Estadísticas
Número de objeros analizados 15151
Virus encontrados 2
Objetos infectados 7 / 0
Objetos sospechosos 0
Duración del análisis 00:11:23
Bombre del objeto infectado Nombre del virus Última acción
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\system32\config\Antiviru.evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado
C:\WINDOWS\system32\config\OSession.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\down\26728734.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\72546.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\83203.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\90093.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\down\90421.exe Infectados: Trojan.Win32.Pakes.bwy saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\mdelk.exe Infectados: Email-Worm.Win32.Bagle.of saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\system32\wintems.exe Infectados: Email-Worm.Win32.Bagle.of saltado
Análisis completado.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Muy buena idea:
vemos que tiene esto de Bagle desconocido :
C:\WINDOWS\system32\mdelk.exe
envienos muestra para analizar, y de momento renombre su extension a .VIR
el otro C:\WINDOWS\system32\wintems.exe ya lo detectamos, renombrelo tambien a .VIR y asi al reiniciar ya no se pondrán en uso.
Tambien adjuntenos estos "Pakes" que no conocemos:
C:\WINDOWS\system32\drivers\down\26728734.exe
C:\WINDOWS\system32\drivers\down\72546.exe
C:\WINDOWS\system32\drivers\down\83203.exe
C:\WINDOWS\system32\drivers\down\90093.exe
C:\WINDOWS\system32\drivers\down\90421.exe
y de momento tambien renombreloa a .VIR, sin borrarlos, ya veremos que son y procederemos, pero de momento asi ya no incrodiarán.
saludos
ms, 18-1-2008
NOTA:
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
vemos que tiene esto de Bagle desconocido :
C:\WINDOWS\system32\mdelk.exe
envienos muestra para analizar, y de momento renombre su extension a .VIR
el otro C:\WINDOWS\system32\wintems.exe ya lo detectamos, renombrelo tambien a .VIR y asi al reiniciar ya no se pondrán en uso.
Tambien adjuntenos estos "Pakes" que no conocemos:
C:\WINDOWS\system32\drivers\down\26728734.exe
C:\WINDOWS\system32\drivers\down\72546.exe
C:\WINDOWS\system32\drivers\down\83203.exe
C:\WINDOWS\system32\drivers\down\90093.exe
C:\WINDOWS\system32\drivers\down\90421.exe
y de momento tambien renombreloa a .VIR, sin borrarlos, ya veremos que son y procederemos, pero de momento asi ya no incrodiarán.
saludos
ms, 18-1-2008
NOTA:
->
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
