Infección por bagle

frantxo250 · Mensaje por **frantxo250** » 22 Ene 2008, 15:18

Hola! Soy un usuario medio que tiene la suerte de tener por hermano a un usuario avanzado, pero mi hermano no ha conseguido por el momento nada así que recurro a vosotros. En primer lugar agradecer la ayuda que me podáis dar. Llevo tres días luchano contra el bagle y no hay manera. Y todo este tiempo perdido me esta frustrando mucho. Así que gracias de antemano.

A ver. Tengo el Bagle. No sé que versión porque distintos antivirus le dan distintos nombres. Según el Panda ActiveScan es Bagle RC.

Os pongo aquí algo de información:

[quote]Posible Virus. No desinfectado C:\WINDOWS\system32\drivers\down\29173265.exe

Posible Virus. No desinfectado C:\WINDOWS\system32\drivers\down\29200406.exe

Posible Virus. No desinfectado C:\WINDOWS\system32\drivers\down\49125.exe

Posible Virus. No desinfectado C:\WINDOWS\system32\drivers\down\50921.exe

Posible Virus. No desinfectado C:\WINDOWS\system32\drivers\down\65500.exe

Virus:W32/Bagle.QV.worm Desinfectado C:\WINDOWS\system32\drivers\down\68468.exe

Virus:W32/Bagle.RC.worm Desinfectado C:\WINDOWS\system32\drivers\down\72203.exe

Virus:W32/Bagle.RC.worm Desinfectado C:\WINDOWS\system32\drivers\down\79343.exe

Virus:W32/Bagle.RC.worm Desinfectado C:\WINDOWS\system32\drivers\down\82859.exe

Posible Virus. No desinfectado C:\WINDOWS\system32\drivers\down\86218.exe

Posible Virus. No desinfectado C:\WINDOWS\system32\drivers\down\90187.exe

Posible Virus. Renombrado C:\WINDOWS\system32\mdelk.exe

Posible Virus. Renombrado C:\WINDOWS\system32\wintems.exe [/quote]

El rootkit revealer dice que en system32 hay unos archivos que son :

hldrrr.exe

srosa.sys

wintems.exe

He tratado de instalar muchos antivirus, pero el único que el virus permite es el Panda. Todos los demás los bloquea diciendo que no son aplicaciones de Win32 válidas. Ayer con el Panda parecía que lo había eliminado pero al reiniciar el ordenador otra vez estaba el virus por todas partes: de nuevo la red inalambrica deshabilitada y sin posibilidad de habilitarla, procesos lentos, explorer a regañadientes. Parece que el firefox se salva un poco.

Tampoco permite iniciar el modo a prueba de fallos, cuando lo intenta aparece un pantallazo azul con error durante un segundo y se reinicia.

He probado a instalar (en muchos casos sin poder llegar a instalarlos):

NIS

Clam

Avast

AVG

Panda

Multicleaner

Zonealarm

Avira

Kaspersky

Nod32

Como veis no se que hacer, así que agradecería alguna ayudita.

Si tengo que postear el log del hijackthis, me lo decís, que mi hermano me dijo que hiciese eso del log, pero que no tocase nada más hasta que pudiese venir otro día.

Mensaje por **msc hotline sat** » 22 Ene 2008, 15:39

Prueba el ELIBAGLA:

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 22-1-2008

NOTA: Hoy estamos haciendo nueva version que controlará nuevas variantes, asi que si con el actual no lo detecta y elimina, pruebe el de esta noche, a partir de las 19 h. y si aun asi no lo eliminaramos, envienos muestras que le solicitaremos en el c:\infosat.txt. ms.

frantxo250 · Mensaje por **frantxo250** » 22 Ene 2008, 19:51

En primer lugar, muchas gracias por la rapida respuesta. Os envío a la dirección virus@satinfo.es el archivo infosat. Lo pongo aquí también por si acaso:

Tue Jan 22 15:34:14 2008

EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.89

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.89

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Tue Jan 22 18:47:23 2008

EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.89

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.89

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Tue Jan 22 18:47:39 2008

EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 9525

Nº Total de Ficheros: 113213

Nº de Ficheros Analizados: 11117

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 0

Tue Jan 22 18:55:13 2008

EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 9525

Nº Total de Ficheros: 113213

Nº de Ficheros Analizados: 11117

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 0

Ahora mismo estoy pasando el antivirus a ver si pilla algo más. Luego bajo el elbagla 10.90 que has puesto y pruebo a ver si aún queda algo.

Mensaje por **msc hotline sat** » 22 Ene 2008, 19:56

Ha utilizado un ELIBAGLA descargado antes de las 19 horas...

Vuelvalo a descargar, ya que ahora hay la 10.90 que igual ya le controla estos sospechosos que pediamos muestra, y tras ello nos vuelve a postear el infosat.txt resultante, gracias

saludos

ms, 22-1.2008

Mensaje por **lucl** » 22 Ene 2008, 19:57

No tienes que enviar el log de infosat si no los archivos que se te piden y que tendras en la carpeta muestras

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.89

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.89

si bien es conveniente que primero pases el elibagle actualizado, y mira si te sigue pidiendo las muestras y las envias siguiendo las instrucciones del link

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y no olvides pegarnos el infosat una vez hayas pasado el elibagle mas actualizado, saludos

Mensaje por **msc hotline sat** » 22 Ene 2008, 19:59

Te he pisado, lucl, y he adelantado a tu post... :roll:

Ya hay una version 10.90, igual ya está controlado ...

saludos

ms, 22-1-2008

frantxo250 · Mensaje por **frantxo250** » 23 Ene 2008, 01:13

De nuevo dar las gracias porque si no es por vuestro trabajo no habría encontrado la solución.

Os comento.

En primer lugar, siento no poder mandaros las muestras porque al pasar el elibagla 10.90 por segunda vez, creo que las ha eliminado. De hecho ha eliminado varias cosas, que veréis aquí en el infosat.

[code]  Tue Jan 22 15:34:14 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.89
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.89
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Tue Jan 22 18:47:23 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.89
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.89
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Tue Jan 22 18:47:39 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   9525
Nº Total de Ficheros:      113213
Nº de Ficheros Analizados: 11117
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  0

	  Tue Jan 22 18:55:13 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   9525
Nº Total de Ficheros:      113213
Nº de Ficheros Analizados: 11117
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  0

	  Tue Jan 22 20:15:33 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Tue Jan 22 20:16:12 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
C:\Muestras\HLDRRR.EXE.MUESTRA ELIBAGLE V10.89 --> Eliminado Bagle.dldr
C:\Muestras\SROSA.SYS.MUESTRA ELIBAGLE V10.89 --> Eliminado Bagle (rootkit)

Nº Total de Directorios:   9518
Nº Total de Ficheros:      113301
Nº de Ficheros Analizados: 11110
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados:  3

	  Tue Jan 22 20:32:22 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Tue Jan 22 20:32:57 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios:   9520
Nº Total de Ficheros:      113322
Nº de Ficheros Analizados: 11109
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados:  1

	  Tue Jan 22 20:38:55 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios:   0
Nº Total de Ficheros:      0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Jan 22 21:08:53 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

	  Tue Jan 22 21:08:56 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\130437.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14565968.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14577703.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\29173265.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\29200406.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\43265906.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\43278218.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\43695984.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\43722531.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\49125.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\50921.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\57777937.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\57788078.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\58484.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\65500.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\72274375.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\72296578.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\72593.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\75656.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\86218.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\90187.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\97328.EXE --> Eliminado Bagle
C:\WINDOWS\Temp\ASHeuristic\WINTEMS.EXE --> Eliminado Bagle

Nº Total de Directorios:   9691
Nº Total de Ficheros:      114913
Nº de Ficheros Analizados: 11303
Nº de Ficheros Infectados: 25
Nº de Ficheros Limpiados:  25

	  Tue Jan 22 21:19:53 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   9692
Nº Total de Ficheros:      114890
Nº de Ficheros Analizados: 11278
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Jan 22 21:23:36 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Jan 22 21:23:41 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   9692
Nº Total de Ficheros:      114866
Nº de Ficheros Analizados: 11278
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Jan 22 22:40:01 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Jan 22 22:40:05 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   9694
Nº Total de Ficheros:      115034
Nº de Ficheros Analizados: 11280
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Jan 22 22:46:43 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Jan 22 22:47:19 2008
EliBagle v10.90  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   9693
Nº Total de Ficheros:      114741
Nº de Ficheros Analizados: 11276
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0[/code]

Como veis, en el tercer y cuarto informe de elibagla, ya no estaban las muestras. Pero no podía limpiar dos archivos. Los dos que no podía limpiar eran mdelk.exe, alojados en Windows/Temp/ASHeur/mdelk.exe y Windows/system32.exe. Estos archivos tenían un icono que eran como un llavero con unas llaves colgando y era imposible borrarlos o modificarlos.

Al encender el ordenador de nuevo, volvía a aparecer el gusano de nuevo.

A partir del quinto registro ya tenéis lo hecho con elibagle 10.90. A las 20:16, tras pasar el elibagla 10.90 parecía que lo limpiaba, pero minutos después el ordenador se iba al carajo mediante la pantallita azul de error que no dejaba ver el error. Se reinicia el sistema y lo primero que actúa es el elibagla tras iniciarse windows. Sigue detectando el gusano, lo limipia y se vuelve a ir al carajo, etc. A las 21 se me ocurre probar a ver si ahora sí permite iniciar en modo seguro (o "a prueba de fallos"). Me lo permite se inicia elibagla y ahí lo veis que se lo pule todo a las 21.08.

Pero vuelvo a mirar carpetas y la carpeta /Down en /system32/Drivers sigue ahí, así como el mdelk.exe. Busco en internet y hallo esta información en un foro.

http://forums.spybot.info/showpost.php?p=156690&postcount=11

El mensaje me sirve para orientarme. Aprovecho que estoy en el modo a prueba de fallos y empiezo a regeditear:

Primero:

Borro HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa

Después borro:

C:\WINDOWS\system32\mdelk.exe

C:\WINDOWS\system32\drivers\down << folder

c:\windows\system32\drivers\srosa.sys

Finalmente voy a Windows/Temp/ASHeuristic y borro con el ChaosSchreder el mdelk.exe que no se dejaba con el Bitebybite.

Paso varias veces el elibeagle y parece que ya no encuentra nada. Reinicio ya en modo normal y paso el elibeagla y de nuevo nada. Y ahora parece que todo funciona de nuevo.

Espero que la información os sirva de ayuda en vuestro trabajo.

Mil gracias por todo. Si vuelvo a tener problemas os aviso. Y siento lo de las muestras.

Mensaje por **msc hotline sat** » 23 Ene 2008, 06:57

Nos serviría mucho mas si nos enviara el fichero indicado: ~~[b]~~[i]mdelk.exe [/i][/b], que por lo visto no controlamos

Asi que si hizo copia de él antes de eliminarlo o le vuelve a aparecer, recuerde que todo lo raro o sospechoso no controlado, conviene enviarnos muestra para analizar:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Y gracias por su informacion y colaboracion.

saludos

ms, 23-2-2008