Os cuento mi problema. De una desgraciada descarga parece que he sido contagiado con el Bagle. Este me había anulado la red inalámbrica y leyendo por ahí pude ver como hacer en el registro para cambiar el valor Star a 3. Pero continuamente me cambiaba a 4.
Después de leer por este foro vi las instrucciones para el Elibagla y Elitriip.
He ejecutado el Elibagla y continuamente hace lo siguiente:
- Entro en Windows, y al iniciar sesión aparece siempre la pantallita del Elibagla para explorar. Le doy a explorar y (salvo en la primera ocasión que eliminó 23 ficheros infectados por Bagle) ya no encuentra ningún fichero infectado.
- Se abre siempre el bloc de notas con ficheros "desktop.ini", los cuales cierro.
- Se abre el supuesto programa que me generó el Bagle (se llama NTSD investigator flight recorder analyzer).
- Se inicia un instalador del Fax, para lo que me pide el CD de la utilidad.
Todo lo voy cerrando a medida de ir apareciendo. Pero después de unos 20 segundos se reinicia el equipo. Esto ya me ha ocurrido 4 veces.
Acabo de reiniciar en Modo a Prueba de fallos. He ejecutado el Elibagla y lo primero que me dice es que el Bagle está eliminado, he vuelto a explorar y ha eliminado 32 nuevos ficheros.
He vuelto a reiniciar en modo normal y me dice que se ha eminado el Bagle. Sin embargo siguen apareciendo los "desktop.ini" y la instalación del fax. (supongo que tendré que eliminarlos del .ini ¿Cómo lo hago?)
¿Se ha eliminado completamente el Bagle?
¿Porque siguen abriéndose los dos Blocs de notas con el "desktop.ini"?
¿He de hacer algo más?
He puesto a trabajar el "Kaspersky Online Scanner" toda la noche, mañana os comunicaré el resultado.
Lamento ser tan "tocho" y agradezco de antemano vuestra respuesta.
Un saludo,
marnsh
Este es el informe Infosat:
EliBagle v12.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\MARIANO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MARIANO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle
Mon Jan 05 23:59:11 2009
EliTriIP v5.41 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Tue Jan 06 00:03:01 2009
EliTriIP v5.41 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Tue Jan 06 00:03:13 2009
EliBagle v12.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MARIANO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Tue Jan 06 00:14:52 2009
EliBagle v12.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MARIANO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Tue Jan 06 00:15:33 2009
EliBagle v12.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP350\A0070592.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP350\A0070608.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP350\A0071610.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP350\A0071625.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP350\A0071643.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP350\A0071647.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP350\A0071648.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP350\A0071650.EXE --> Eliminado Bagle.dldr
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP351\A0071961.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP351\A0071965.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP351\A0071968.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP353\A0072208.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP353\A0072223.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP353\A0072226.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP353\A0072227.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP353\A0072232.EXE --> Eliminado Bagle.dldr
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP353\A0072245.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP353\A0072248.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP353\A0072253.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP354\A0072394.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP354\A0072401.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP354\A0072402.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP354\A0072403.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 5687
Nº Total de Ficheros: 82032
Nº de Ficheros Analizados: 17323
Nº de Ficheros Infectados: 23
Nº de Ficheros Limpiados: 23
Tue Jan 06 00:27:59 2009
EliBagle v12.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\MARIANO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MARIANO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle
Reinicie para Completar la Limpieza.
Tue Jan 06 00:28:34 2009
EliBagle v12.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 5687
Nº Total de Ficheros: 82026
Nº de Ficheros Analizados: 17303
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Tue Jan 06 00:40:05 2009
EliBagle v12.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\MARIANO\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MARIANO\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle
Reinicie para Completar la Limpieza.
Tue Jan 06 00:40:34 2009
EliBagle v12.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 5687
Nº Total de Ficheros: 82043
Nº de Ficheros Analizados: 17308
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Tue Jan 06 01:02:53 2009
EliBagle v12.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Tue Jan 06 01:02:59 2009
EliBagle v12.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Documents and Settings\MARIANO\Datos de programa\drivers\SROSA.SYS --> Eliminado Bagle(rootkit)
C:\Documents and Settings\MARIANO\Datos de programa\drivers\downld\110438.EXE --> Eliminado Bagle
C:\Documents and Settings\MARIANO\Datos de programa\drivers\downld\305399.EXE --> Eliminado Bagle.dldr
C:\Documents and Settings\MARIANO\Datos de programa\drivers\downld\1020948.EXE --> Eliminado Bagle.dldr
C:\Documents and Settings\MARIANO\Datos de programa\drivers\downld\1695217.EXE --> Eliminado Bagle
C:\Documents and Settings\MARIANO\Datos de programa\drivers\downld\1837211.EXE --> Eliminado Bagle.dldr
C:\Documents and Settings\MARIANO\Datos de programa\drivers\downld\114344.EXE --> Eliminado Bagle
C:\Documents and Settings\MARIANO\Datos de programa\drivers\downld\238913.EXE --> Eliminado Bagle.dldr
C:\Documents and Settings\MARIANO\Datos de programa\drivers\downld\101626.EXE --> Eliminado Bagle
C:\Documents and Settings\MARIANO\Datos de programa\drivers\downld\167801.EXE --> Eliminado Bagle.dldr
C:\Documents and Settings\MARIANO\Datos de programa\drivers\downld\130687.EXE --> Eliminado Bagle
C:\Documents and Settings\MARIANO\Datos de programa\drivers\downld\192286.EXE --> Eliminado Bagle.dldr
C:\Documents and Settings\MARIANO\Datos de programa\drivers\downld\113062.EXE --> Eliminado Bagle
C:\Documents and Settings\MARIANO\Datos de programa\drivers\downld\172407.EXE --> Eliminado Bagle.dldr
C:\Documents and Settings\MARIANO\Datos de programa\m\FLEC006.EXE --> Eliminado Bagle.dldr
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072462.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072463.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072464.SYS --> Eliminado Bagle(rootkit)
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072465.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072466.EXE --> Eliminado Bagle.dldr
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072467.EXE --> Eliminado Bagle.dldr
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072468.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072469.EXE --> Eliminado Bagle.dldr
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072470.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072471.EXE --> Eliminado Bagle.dldr
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072472.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072473.EXE --> Eliminado Bagle.dldr
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072474.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072475.EXE --> Eliminado Bagle.dldr
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072476.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072477.EXE --> Eliminado Bagle.dldr
C:\System Volume Information\_restore{FE8CD4CD-D8A2-4D69-9B22-FB97CE18E821}\RP355\A0072478.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 5780
Nº Total de Ficheros: 82716
Nº de Ficheros Analizados: 17523
Nº de Ficheros Infectados: 32
Nº de Ficheros Limpiados: 32
msc hotline sat Virus Research Engineer 
[img]