Problema con bagle srosa (no inicia)

[guanako]

Buenas. No tengo mucho conocimiento de informática y me he encontrado con un problemilla, ojalá se pueda solucionar.... Os lo explico: instalé el antivirus ZoneAlarm suite, hizo el escaneo y encontró algún problema, pero sin mucha importancia, pero al día siguiente, encendí el ordenador y se reinició de golpe, no pasaba de estar 2 o 3 minutos encendido, y aparte iba muy lento. Pero creo que esto no tiene importancia, el asunto es que ahora al encenderlo me sale la pantalla de selección en modo seguro y demás, en un principio podía iniciar con la última config que funcionó, pero ahora ya ni eso. Me sale una pantalla azul diciendo que hay problemas con no se qué, y sale "srosa.sys". Buscando por aquí vi que es un bagle, hasta ahí bien, pero no tengo ni idea de cómo se soluciona. No me deja iniciar de ninguna manera. Ya he intentado reparando con el cd de windows el sistema operativo (windows xp) pero sigue igual.



¿Alguien me puede ayudar? ojalá! quiero intentar repararlo sola en casa si puede ser.

Gracias.

[msc hotline sat]

Prueba el ELIBAGLA:




[quote="para descargar el ELIBAGLA, msc"]


http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



Saludos y FELIZ AÑO NUEVO



ms,. 1-1-2009

[guanako]

Hola, gracias, pero no entiendo cómo hacerlo. Si pudiera iniciar el ordenador me descargaba algún antivirus para eliminarlo, pero el problema es que no me deja iniciar, me sale una pantalla azul y nada más.

Qué puedo hacer?

[msc hotline sat]

Acaso modificaste ficheros para poder arrancar en modo seguro ???



El Bagle cambia la clave SAFEBOOT del registro para que no se pueda arrancar en modo seguro, y se debe cambiar esta, no modificar BOOT.INI pues sino se entra en un callejon sin salida.



Si es el caso, debes volver a dejar el fichero de arranque como estaba, arrancando con el CD de instalacion y accedienco a la consola de recuperacion, o bien colocando este disco duro como esclavo en otro ordenador.



Ya ha pasado otras veces. Mira en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=26814&hilit=boot.ini



Y una vez puedas arrancar normalmente, prueba el ELIBAGLA ya indicado



saludos



ms, 2-1-2009

[guanako]

Bueno, entiendo que hay que hacer recuperación... pero para mi esto es nuevo... He leido que se puede hacer un fixboot para arreglar el arranque...



Edito: acabo de ejecutar FIXBOOT y todo sigue como estaba. No entiendo como arreglar el boot.ini

[guanako]

Bufff necesito algo más detallado. He probado a seguir esto

REPARAR ARCHIVOS DE ARRANQUE DAÑADOS



Archivo boot.ini esta dañado o no aparece, desde la Consola de Recuperación, escribimos:



· bootcfg/scan para ver las instalaciones de XP disponibles en todos los discos

· bootcfg/rebuild para reemplazar automáticamente el archivo boot.ini existente (aqui me preguntó algo de cuantas sesiones o cuantos algo, puse 2... sin saber porqué ni para qué) el tercer paso no pude hacerlo porque empezó a reiniciar.

· bootcfg/add para añadir una instalación de XP a boot.ini sin cambiar las entradas existentes.



Pero sigo en las mismas... eso sí, he visto que el logo de windows xp que aparece en la carga ha cambiado (lo tenia configurado con otra imagen), espero que eso no signifique que se me han perdido datos.



AYUDA!

[msc hotline sat]

NO, solo se ha de restaurar el BOOT.INI si lo modificaste para que arrancara en modo seguro automaticamente, lo cual NO DEBE HACERSE si se está infectado con BAGLE.



Pero repito, todo ello está explicado ya en otros casos, como se puede ver en https://foros.zonavirus.com/viewtopic.php?f=5&t=26814&hilit=boot.ini



Ahora bien, si no lo modificaste tu voluntariamente, puede que no sea lo supuesto, sino que hayas borrado algun fichero de sistema, ante lo cual deberías REPARAR el sistema para volver a crear los ficheros que faltaran:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



En funcion de lo que hicieras, obra en consecuencia y cuentamos tus progreosos al respetco



saludos



ms, 3-1-2009

[guanako]

He leido ese post, pero sigo sin saber como arreglar el boot.ini.... no estás tratando con una persona entendida en informática.

No modifiqué nada,todo lo hizo el bagle, lo expliqué en el primer post tal cual ocurrió.



Ya he probado con la reparación, y no cambió nada, también con el fixboot.

[msc hotline sat]

Pues prueba a ver si puedes arrancar en modo seguro, pùlsando F8 al arrancar... , porque igual no es nada de lo indicado ...



Y nos cuentas si has podido, gracias



saludos



ms, 3-1-2009

[guanako]

Parecia que iba a iniciar windows pero salió una ventana diciendo que no podia inicarse en modo a prueba de fallos.... :x

[msc hotline sat]

Lógico, entonces señal que aun tienes modificada la clave del SAFEBOOT



Pues me extraña que no te arranque en modo normal si no has toqueteado el BOOT.INI, y si ademas ya has REPARADO el windows ... Mira si pulsando SUPR al arrancar, al entrar en SETUP, te autodetecta el disco duro, no sea que se haya desconfigurado...



Hemos eliminado miles de Bagles, de los cuales la mayoria han sido con el ROOTKIT Srosa.sys como el tuyo (aunque del mismo hay cientos de variantes) por lo que has de tener algp mas, a ver si lo decubrimos :roll:



Aparte de la prueba del SETUP, dinos exactamente lo que te dice en este "no sé qué" :



[b][i] Me sale una pantalla azul diciendo que hay problemas con no se qué,[/i][/b]



A ver si asi se nos ocuure cual es la causa...



saludos



ms, 3-1-2009

[guanako]

[i]Se ha encontrado un problema y windows ha sido apagado paa evitar daños al equipo.

El problema parece ser originado or el sigiente archivo: srosa.sys



DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS



Si sta es la primera vez que ve esta pantalla de error de detención, reinicie. Si aparece otra vez, siga los siguientes pasos:

Compruebe que cualquier hardware o software está correctamente instalado. Si es una nueva instalación, contacte cn su proveedor de hardware o software para obtener actualizaciones de windows que pueda necesitar.

Si los problemas continuan, deshabilite o elimine cualquier nuevo hardware o software intalado. Deshabilite opciones de memoria de la bios como caché o vigilancia. Si necesita utilizar el modo a prueba d errores para quitar componentes, reinicie, presione f8 y seleccione modo a prueba de fallos.



Información técnica:

***STOP: 0x000000CE (0xF921CE74,0x000000,0xF921CE74,0x00000000)



srosa.sys[/i]



Es todo lo que dice en la pantalla. Al encenderlo, parece que va a arrancar pero acaba saliendo eso.



He entrado en setup, cómo se que detecta el disco duro?



Es curioso que a medida que he iniciado el ordenador ha ido a peor. al principio podía entrar en windows, luego solo con la última configuracion, y luego ya ni me presenta la pantalla de selección del modo!

[msc hotline sat]

Sí, a veces es peor el remedio que la enfermedad !



Si hubieras probado el ELIBAGLA de entrada, se hubiera resuelto el problema, pues del SROSA hemos solucionado todos los miles de casos habidos, piensa que en SATINFO tenemos mas de 100.000 usuarios con contrato de servicio tecnico, para los que hacemos las utilidades que aqui se prueban en concepto de evaluacion, y BAGLES, VUNDO, ONLINEGAMES, AGENT-ABUE, etc , cada día atendemos consultas y recibimos muestras de nuevas variantes, que pasamos a controlar con nuevas versiones de nuestras utilidades, pero claro, partiendo de que el usuario se ha infectado y sin manipulaciones previas, aplican las utilidades bajo nuestras indicaciones, cosa que en tu caso ya indicas haber ejecutado un FIXBOOT que no te habiamos indicado, y no sé lo que pudo haber hecho...



Lo que está claro es que aun tienes las claves del SAFEBOOT modificadas (ya que no puedes arrancar en modo seguro) y que persiste un SROSA.SYS, que es el Rootkit que dificulta la eliminacion ocultando procesos, ficheros y claves. Eso sería facil de arreglar, lo malo es que no puedes arrancar para lanzar el ELIBAGLA... Y ello creo que es porque tienes dañado o borrado en BOOT.INI, vamos a ver si lo encuentras y lo puedes editar para copiarnos su contenido y asi poder restaurarlo adecuadamente.



Arranca con el CD de instalacion y pulsa R para acceder a la Consola de Recuperacion.



Una vez allí escribe:



DIR  C:\BOOT.INI  /A  /S



Y si aparece, entonces veamos su contenido con:



TYPE C:\BOOT.INI



y nos lo posteas, asi sabremos a qué atenernos y si hay que hacer algo al respecto.



Otra cosa sería copiarle el C:\BOOT.INI del ordenador que utilizas ahora, si esto te es mas facil...



Luego pruebas arrancar, y si lo consigues, lanza el ELIBAGLA y veremos que nos dice.



saludos



ms, 4-1-2009

[guanako]

Hola, he estado unos dias sin ordenador, el tema sigue igual, no he podido hacer nada.

El comando dir c:\boot.ini /a /s no funciona, pero meti el siguiente type c:\boot.ini y salió esto:



[boot loader]

timeout=1

default=multi(0)disk(0)rdisk(0)partition(1)\windows

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\windows="1" 2

multi(0)disk(0)rdisk(0)partition(1)\windows="Micrsoft windows xp professional"

/fastdetect /tutag=r9tcfo /kernel=tukerne.exe





Sobre copiar el boot.ini de este ordenador, nosé como hacerlo, de todas formas, funcionaría si es otro sistema operativo? (es el vista)

[msc hotline sat]

Evidentemente que si ves el contenido, has de tener el fichero... :wink:



Pero bueno, vamos a analizarlo e informamos a continuacion





Pues sustituye el BOOT.INI que tienes por este:
[quote]


[boot loader]

timeout=6

default=multi(0)disk(0)rdisk(0)partition(1)\windows

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\windows="1" 2

multi(0)disk(0)rdisk(0)partition(1)\windows="Micrsoft windows xp professional"

/fastdetect




[/quote]

el valor 6 en lugar de 1 del timeout es para que te de tiempo a escoger el menu de opciones



y las dos aplicaciones que eliminamos del final es porque no las vemos imprescindibles, y puede que esten dañadas e impidan ser ejecutadas



y nos comentas el resultado, gracias



saludos



ms, 8-1-2009

[guanako]

Jaarl y como se edita?

[msc hotline sat]

Con el mismo bloc de Notasque supongo que has utilizado para abrirlo...



Modificas lo que haga falta y al final le indicas ARCHIVO -> GUARDAR



saludos



ms, 10-1-2009

[guanako]

Como? pero si no puedo entrar a windows como voy a abrir el bloc de notas? eso lo vi porque escribi "type" boot.ini en repcuperación.

[msc hotline sat]

Claro, no releí la pagina anterior para ver que lo habias visto gracias a arrancar en consola de recuperacion, pues arranca del mismo modo y mira si el comando EDIT te funciona, y con él editas el BOOT.INI , sino copias dicho fichero a otro medio, lo llevas a otro ordenador, y en el miemo medio lo editas con el BLOC DE NOTAS y luego, ya modificado, lo vuelves a llevar al ordenador afectado y sobreescribes el que había en dicho ordenador.



Cuentanos el resultado, gracias



saludos



ms, 11-1-2009

[guanako]

Para el edit que hay que escribir exactamente?



Agradeceria algo más de explicaciones ya que como ves no entiendo de esto y se me hace eterno.

[msc hotline sat]

escribe : EDIT  C:\BOOT.INI   <ENTER>



saludos



ms, 12-1-2009