Troyano que me bloquea los antivirus(SOLUCIONADO)

[almaloguay]

Vereis, ejecute un .exe el cual me bloqueo mi antivirus avast. Probe con otros antivirus, pero al intentar iniciarlos el mensaje era identico para todos ellos:

(directorio del programa).exe no es una aplicación Win32 válida.



Cosegui escanear mediante una herramienta online de karspersky (karspersky file scanner)que el archivo maligno era un troyano: Trojan-Downloader.Win32.Bagle.kf



Sin embargo nunca pude usar el escaneador online de karspersky, y creo que el culpable es este mismo archivo. Ayuda por favor, tal y como estoy no puedo añadir la extension .VIR a ningun archivo, ya que no tengo ni idea de cual es en cuestion, y pueden estar haciendo cualquier cosa en mi ordenador :S

[msc hotline sat]

Pues pruebe el ELIBAGLA:



ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 26-2-2008

[almaloguay]

Al parecer es mas serio... Gusano Bagle o algo asi...







Mon Feb 25 17:05:38 2008

EliTriIP v4.42 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Feb 25 17:05:48 2008

EliTriIP v4.42 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7526

Nº Total de Ficheros: 93885

Nº de Ficheros Analizados: 9692

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Feb 25 17:20:45 2008

EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v11.04

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.04

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Mon Feb 25 17:21:05 2008

EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\eMule\Incoming\ACOUSTIC LABS MULTITRACK RECORDER 3.0.ZIP --> Eliminado Bagle.dldr

C:\Archivos de programa\eMule\Incoming\OLGA SEARCH - ACOUSTIC 1.ZIP --> Eliminado Bagle.dldr

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 7526

Nº Total de Ficheros: 93886

Nº de Ficheros Analizados: 7428

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Mon Feb 25 17:27:36 2008

EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v11.04

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.04

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Reinicie para Completar la Limpieza.

[msc hotline sat]

Pues como le dice al final,



[b][i]Reinicie para Completar la Limpieza.[/i][/b]



Y nos comenta si persiste alguna anomalia...



Pero sepa que los antivirus son destruidos por dicho vrius, asi que debe desinstalarlos completamente e instalarlos de nuevo



saludos



ms, 26-2-2008

[almaloguay]

Detalles: El ordenador se me reinicia subitamente de cuando en cuando, y ademas cada vez que lo hace ( o lo hago yo manualmente) me sale una ventana de "select file to crack" (que es la ventana ke se me abrio la primera vez cuando intente ejecutar "el supuesto" crack. El problema persiste, y el ELIBAGA me informa de que el gusano persiste cada vez que se inicia windows. Ademas, de vez en cuando el sistema me informa de que se ha recuperado de un error grave.

[almaloguay]

ademas (es que no sabia si me iba a dar tiempo antes de reiniciarse, por eso no lo e puesto antes) ya probe lo de reinstalar el antivirus y no da resultado. Todo sigue igual

[almaloguay]

ademas (se me ha vuelto a reiniciar, por eso posteo de nuevo) ya probe lo de reinstalar el antivirus y no da resultado.

[almaloguay]

Perdon pero no sabia si se habia enviado. Estoy probando a no cerrar la ventana de "select file to crack" para ver si asi no se reinicia.

[almaloguay]

Mas cosas: el archivo en cuestión parece ser el tal mdelk.exe. No me deja cambiar la extension ni eliminarlo, el mensaje es "no se puede leer el disco o archivo de origen.

[msc hotline sat]

Pues mire si ahora ya puede arrancar en modo segur0 y en dicho modo pruebe el ELIBAGLA.



saludos



ms, 26-2-2008

[almaloguay]

Hala, ya no hay mas problemas. Al entrar en modo seguro borre manualmente el archivo maligno. Aparte, el ELIBAGA detecto otros 3, y los borro

Al iniciar normal el antivirus no iba, pero volvi a instalar y todo va bien. Gracias por todo! Haceis un trabajo increible.

PD: si quereis tener una copia del archivo para lo que sea decidmelo y os la mando.

[flacoroo]

asi es mandalo para que lo analicen a zonavirus@infosat.es como asunto el tema de tus post, debe ir comprimido con la contraseña: virus, y cerramos el post por haberse solucionado. y ya sabes donde estamos por si tienes mas problemas.

[msc hotline sat]

Y muy importante, indica tu nick del foro en el mail que adjuntes las muestras, sino no se podrá crear carpeta al respecto:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 26-2-2008