bagle y rootkit inmortales

[lobo]

wenas, soy nuevo en este foro, aunke me e leido y reeleido todo lo q en el se expone buscando una solucion a mi problema, el cual ya me supera.

e ejecutado el elibagla mil veces, e cambiado el inicio como bien exponen por aki, por q no me dejaba arrancar en a prueba de errores, uso el xp y en la clave safeboot y con el inicio q marcan en un post del foro, logre ejecutar el elibagla y luego el explorador q aparece con el, y luego reinicias, pero el virus persiste, sigo sin sonido, se me reinicia solo y ahora el moden a dejado de ir.

lo del antivirus.... pues eso, no me deja instalar ninguno, ya q me da error siempre, pruebe con el q pruebe

cuando ejecuto el elibagla me da estos resultados:

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\EL RICHAR\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle Acceso Denegado.

la carpeta del virus era un rar q me baje con la mula y ya la elimine pero me sigue saliendo cada vez q reincio, eso como lo elimino?? bueno ya no se q mas hacer, por mas q ejecute el elibagla no saco nada en claro

me podeis ayudar'?? muchisimas graciass

[lucl]

Echa un vistazo a este link

http://www.zonavirus.com/descargas/elibagla.asp

y pon el infosat completo, porque parece que te falta el analisis por exploracion por lo que el trabajo esta echo a medias, descargalo de nuevo, ejecutalo y cuando te sale el cuadro que pone explorar y salir le das a explorar, y luego nos pegas el log de infosat que tendras en C COMPLETO, gracias saludos

[lobo]

wenas, muchas gracias por tu respuesta, ya vi ese posth y es el q estoy ejecutando continuamente, la buskeda no la e puesto por q no me deja ya conectarme a internet, no me reconoce el moden, ahora tengo q usar el portatil, pero la buskeda keda mas o menos asi, te la escribo uno a uno jeeje



elibagle v11.66

lista de acciones (por exploracion)

explorando unidad c:



n total de directorios: 6199

n total de ficheros: 59167

n de ficheros analizados: 8602

n de ficheros infectados: 0

n de ficheros eliminados: 0

tiempo transcurrido:

[Claudia34]

Pues ademas descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt
http://www.zonavirus.com/descargas/elitriip.asp

Y para complementar (opcional en algunos casos):
viewtopic.php?f=5&t=18469


Y compleméntalo posteándonos el Log del HJT:


HJT: (HiJackThis)
¿Como utilizar el Hijackthis?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/tren ... ckthis.asp
Tras analizarlo, informaremos.
Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.
Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

¿Como arrancar en modo a prueba de fallos?
http://www.zonavirus.com/articulos/como ... fallos.asp

Opcional:


Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.


Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/
https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.
Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.

https://www.kaspersky.es/downloads/thank-you/free-antivirus-download

Y para el tema de los autorun descargate del siguiente enlace el elipen:
http://www.zonavirus.com/descargas/elipen.asp

Saludos.

[msc hotline sat]

Sí, hay Bagles muy resistentes, pero los pisamos tal como indicamos en:

http://www.zonavirus.com/descargas/elibagla.asp

saludos

ms, 7 de Agosto de 2008

[lobo]

wow q de ayuda j**e, muchisimas gracias, me voy a poner a ello en cuanto llege a casa, os pongo la lista de lo q me pedis en mi siguiente respuesta, muchisimas gracias de verdad, un saludo

[msc hotline sat]

Es un placer ... :wink:



saludos



ms, 7 de Agosto de 2008

[lobo]

wenas, pues a ver, despues de perder la conexion a internet con el ordenador en cuestion, no pude pasarle los antivirus online, y decidi bajar los demas archivos con el portatil y meterlos en el pc y pasarlos, despues coji el archivo que pedis donde se registra lo q haces con el eliagla y eso, para ponerlo aki en un pen y pasarlo al portatil desde el pc, consecuencia, adios portatil jeje ni arrancaba, tuve q formatear con lo q me va super lento despues de hacerlo, pero eso es otro tema.

En el pc, el q esta infectado con el gusano y el rookit, decidí darlo por perdido y formatear, disco original de xp y todo eso, craso error, ejej ahora me sale una pantalla azul en la q me pone, no se encuentra el archivo iastor.sys de la q lo único q puedo hacer es volver a reiniciar, no puedo ni acceder a modo a prueba de fallos para continuar con windows ni nada de nada, solo esa pantalla, nada maas

q puedo hacer ahora?? no se como formatear el ordenador, no se como solucionar este lio, la bios con el + y el - no puedo cambiaar las opciones, me podeis ayudar?? necesito ayuda profesional?? muchisimas gracias por vuestra ayuda

[lucl]

Veamos la bios ni la toques! Es muy peligroso, lo que te pasa es que te falta un archivo que puedes conseguir pidiendole a alguien que te deje su cd, mismo xp es decir parece que tienes prof asi que el cd que te dejen que sea profesional. Una vez lo tengas metes el cd y formateas de nuevo pero cuando metas la clave ya sabes mete la tuya :lol: . Creo que esa seria la mas facil de las opciones mira si puedes hacerlo. En cuanto al portatil y la lentitud actualizalo lo primero para que no vaya tan lento y estes protegidos. Nos comentas avances saludos

[msc hotline sat]

Para otra vez, recuerda que los AV ONLINE se pueden lanzar arrancando en modo seguro con funciones de red, con lo cual se evita que si hay virus, este entre en uso e incordie...

Y ya que andas con pendrives en ordenadores infectados... vacuna ordenadores y UNIDADES pendrives con el ELIPEN:

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Y no queda muy claro esto de que por copiar el infosat.txt con el resultado del ELIBAGLA perdieras el arranque, a no ser que el pendrive que utilizaras estuviera infectado, por esto te recomiendo protegerte con el ELIPEN contra la propagación de este tipo de virus !!!

saludos

ms, 16 de Agosto de 2008