Bagle resistente :( (SOLUCIONADO)

[Tatuu]

Bueno, la cosa es masomenos asi: yo usando el comando Netstat -nob en el cmd vi que tenia este virus conectado a internet e investigando llegue aca.. intente ir a modo apf con funciones de red y se me reinicia la pc, no me deja el bagle :S descargue el eli bagle que dan aca y no se abre.. yn o puedo ir a apf en consecuencia.. en el administrador del sistema no me figura como un proceso el flec006, pero en netstat -nob que es el comando que me dieron para ver los procesos conectados a internet aparece como conectado, en varios puertos a muchas IP's, figura aproximadamente 30 veces, cuando los otros procesos que aparecen son el mozilla, el msnmsgr y en dos ocaciones el svchost..

En resumen, se que esta ahi, no se donde, no puedo abrir el eli bagle, no puedo ingresar a APF y no puedo ubicarlo.. alguien me ayuda?



Hace un tiempo no puedo correr algunas aplicaciones,asumo que desde que tengo el bagle.. El nod32 no me arranca mas, junto con aplicaciones de windows varias.. :S Cuando abro el eli bagle aparece el reloj de arena por unos segundos y se va como si no hubiera tocado nunca nada :S ni siquiera me aparece una msj box con un mensaje de error, simplemente muere ahi..

Aca dejo masomenos los troyanos que tengo que no puedo sacar, uno de esos es el bagle este pero no lo logro encontrar.. antes usaba el spybot SD para matar estas infecciones, pero no carga mas junto con los otros antivirus.. con el spybot sd pasa lo mismo que con el eli bagle, no carga directo.. con los otros antivirus me aparece no se pudo iniciar la aplicacion..



Reporte - TROYAN EXPLORE® 7.19 Demo - Report

-------------------------------------------------------------------------------

3 >SPY/AD - 3 >VIRUS - EAP> No - SRI> Scan Ultra - TMR> No - SFP> 2

-------------------------------------------------------------------------------

IrcG

C:\WINDOWS\SYSTEM32\DRIVERS\?<--Virus/Bot/IRC/Gen

-------------------------------------------------------------------------------

B/Beagle

C:\WINDOWS\SYSTEM32\?<--Virus/Trj/Bot

-------------------------------------------------------------------------------

A/Cas

C:\?<--Spy/Ad/PUA/Gen

-------------------------------------------------------------------------------

A/Eb

C:\WINDOWS\?<--Spy/Ad/PUA

-------------------------------------------------------------------------------

A/AdG

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\?<--Spy/Ad/PUA/Gen

-------------------------------------------------------------------------------

BotG

C:\WINDOWS\?<--Virus/Bot/IRC/Gen

-------------------------------------------------------------------------------

B/Beagle

C:\WINDOWS\SYSTEM32\DRIVERS\?<--Virus/Trj/Bot

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\?<--Virus/Trj/Bot

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\?<--Virus/Trj/Bot

C:\WINDOWS\SYSTEM32\?<--Virus/Trj/Bot

C:\WINDOWS\SYSTEM32\?<--Virus/Trj/Bot

C:\WINDOWS\SYSTEM32\DRIVERS\?<--Virus/Trj/Bot

C:\WINDOWS\SYSTEM32\DRIVERS\?<--Virus/Trj/Bot



Muchas gracais por toda la ayuda que me puedan dar, cualquier informacion que necesiten, peguenme el chifle nomas.. :)

[msc hotline sat]

De entrada desinstale todo antivirus y herramientas antivirus que tenga al respecto, primero para que no incordien y segundo porque el Bagle acostumbra a dañarlas. Despues de eliminar el Bagle o lo que haya, ya volverá a instalar las que quiera.



Descarguese el ELIBAGLA, que está funcionando perfectamente en miles de máquinas, con o sin Bagle, y pruebelo.




[quote="msc"][b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Acto seguido reinice en modo seguro y lance de nuevo el ELIBAGLA y así ya deberá eliminar el Bagle o pedirá muestras para analizar.



Tras ello nos postea el contenido de c:\infosat.txt y veremos que es lo que hemos hecho.



Si no se resuelve totalmente, arranque normal y lance este AV ONLINE y posteenos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludos



ms, 27-2-2009







NOTA: Y por si tuviera mas de un malware, descargue estas tres utilidades en una misma carpeta y pruebaeademas el ELISTARA y el ELITRIIP:


[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELINOTIF.DLL:[/b]

http://www.zonavirus.com/descargas/elinotif.asp



Tras lo indicado al principio de esta nota, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos


[/quote] ms.

[Tatuu]

mira, termine de desisntalar todos los antivirus, baje las 2 utilidades y el dll y las probe.. cuando las abro, pasa lo mismo..

El eli triip abre, me ofrece bloquear la intrusion por el puerto tcp 445 y me dice por favor envienos una muestra de (y la ruta de un archivo que creo el programa) a una direccion que no alcanzo a leer, pro que pasados 5 segundos de que abri el archivo, se cierra.. si hago todo rapido me dice procesando 1360 ficheros viricos y se cierra al instante, sin que termine de hacer el trabajo..

El eli stara dice Procesando 1662 files y 2201, termina y se cierra pasados 5 segundos desde que lo abri..



Con el eli bagla lo mismo, lo baje de nuevo, se pone el reloj tambien por aproximadamente 5 segs y no pasa nada mas..



en cuanto al scan de kaspersky, recien lo puse, se empezo a actualizar la base de datos y mientras escribia este mensaje se me cerro el mozilla.. y eso no me pasa NUNCA.. ahora voy a reinciar la pc e intentare iniciar en apf con funciones de red, si no funciona, apf solo y sino vuevlo y les digo como y cuando se reinicia.. si quieren puedo usar el hypercam o algun programa de ese estilo para grabar lo que pasa cuando abro los archivos y lo subo a youtube y les dejo un link para que vean.. me esta empezando a poner nervioso esto :S



Gracias por la respuesta inmediata que me diste y por la ayuda :)







Edito: Todavia no reinicie la maquina, hasta ahora el kaspersky va actualizando 10/40 mb sin crashear.. Volvi al simbolo del sistema y probe de nuevo netstat -nob y vi que tambien estoy infectado por el wintems.exe



https://foros.zonavirus.com/viewtopic.php?f=5&t=24735

entre ahi y vi que un problema que tengo es x eso, no puedo ver los archivos ocultos..

el tema es que recomiendan el eli triip ahi y no me carga a mi.. estas dos infecciones son la causa aparente de muchos problemas que tengo hace mucho y no entendia por que hasta que me rompi las bolas y decidi ver que pasaba.. tengo que hacer otro tema para ver si me ayudan? voy a probar otra utilidad de ahi, el hjt a ver que pasa

A el le pasa lo mismo que a mi pero lo pudo solucionar, yo hice lo msimo y nada :S



Bueno, a fuerza de abrir el elitriip una y otra vez, logre esto





Fri Feb 27 13:13:41 2009

EliTriIP v5.60 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\OREANS32.SYS.Muestra EliTriIP v5.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado



el kaspersky sigue bajando a velocidad glacial, pero baja :P 15/40 mb.. ahora subo la muestra del elitriip por si sirve de algo.. y estoy bajando el hjt



Bajado, lo descargue a una carpeta propia C:\hijackthis y me dijo que fue modificado o no se que y cuando lo abri me tira error, no es una aplicacion de win32 valida.. lo baje de nuevo, el error se repite.. tendre que rezar por que el karspersky me salve :P

[julibaga]

Para enviar muestras, hazlo como se indica en el link siguiente:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Nota: el Kaspersky no elimina, te da un informe que es que que [color=#BF0000]ms hotline sat[/color] quiere ver y en consecuencia te dirá qué hacer.

[Tatuu]

Otra vez sopa.. Crasheo la pc y se reinicio, el kaspersky volvio a 0.. voy a ver tele, me echo una siesta y cuando vuelvo espero que se haya bajado.. si no toco la pc por ahi no pasa naranja :P





Edit: o por ahi si, sigo teniendo mala leche T_T



Update has failed. Program has failed to start. Close the Kaspersky Online Scanner 7.0 window and open it again to install the program.







You must be online to update the Kaspersky Online Scanner 7 database. With the latest database updates, you can find new viruses and other threats. Please go online to use Kaspersky Online Scanner 7. [ERROR: Scan has failed to start. [0x80004005]]



cerre, abri volvi a entrar.. siempr lo mismo :(

[msc hotline sat]

Veo que el fichero solicitado por el ELITRIIP es



C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS





y al respecto vemos:



http://www.hacksoft.com.pe/virus/trojan_bifrose_rr.htm





en cualquier caso ya está aparcada, y el lunes, cuando volvamos al trabajo en SATINFO, la analizaremos e informaremos



Posiblemente tengas otras cosas aparte del Bagle, que efectivamente tienes, pues lo indican ficheros tipicos como el wintems.exe, el proceso flec006, el rootkit propio del bagle que oculta sus ficheros, etc., pero esto de que se cierran las utilidades no es propio de él, y tampoco no poder ver fichero ocultos, esto lo hacen otros malwares, y el que no puedas arrancar en modo seguro lo hace tanto el bagle como otros, pero teniendo el Bagle ya es suficiente para que lo haga (debido a la modificacion de la clave SafeBoot)



Y el HJT es menos potente que el SPROCES, el cual le supera llegando hasta donde no llega aquel, asi que si quieres probar alguno, mejor el SPROCES y tras ello pulsas SALIR y nos posteas el c:\sproclog.txt



Lastima que el informe del Trojan Explorer no diga en qué ficheros está lo que detecta, pues su informe se limita a:


[quote]Reporte - TROYAN EXPLORE® 7.19 Demo - Report

-------------------------------------------------------------------------------

3 >SPY/AD - 3 >VIRUS - EAP> No - SRI> Scan Ultra - TMR> No - SFP> 2

-------------------------------------------------------------------------------

IrcG

C:\WINDOWS\SYSTEM32\DRIVERS\?<--Virus/Bot/IRC/Gen

-------------------------------------------------------------------------------

B/Beagle

C:\WINDOWS\SYSTEM32\?<--Virus/Trj/Bot

-------------------------------------------------------------------------------

A/Cas

C:\?<--Spy/Ad/PUA/Gen

-------------------------------------------------------------------------------

A/Eb

C:\WINDOWS\?<--Spy/Ad/PUA

-------------------------------------------------------------------------------

A/AdG

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\?<--Spy/Ad/PUA/Gen

-------------------------------------------------------------------------------

BotG

C:\WINDOWS\?<--Virus/Bot/IRC/Gen

-------------------------------------------------------------------------------

B/Beagle

C:\WINDOWS\SYSTEM32\DRIVERS\?<--Virus/Trj/Bot

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\?<--Virus/Trj/Bot

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\?<--Virus/Trj/Bot

C:\WINDOWS\SYSTEM32\?<--Virus/Trj/Bot

C:\WINDOWS\SYSTEM32\?<--Virus/Trj/Bot

C:\WINDOWS\SYSTEM32\DRIVERS\?<--Virus/Trj/Bot

C:\WINDOWS\SYSTEM32\DRIVERS\?<--Virus/Trj/Bot[/quote]
Por esto es importante obtener el informe del AV ONLINE del kaspersky, que nos dirá cuales son los ficheros, y, aparte del bagle, atacar los que están incordiando, pero para ello hemos de analizar los ficheros en cuestion, por lo que tras postear el informe del AV ONLINE indicado, te diremos los ficheros que nos has de enviar para analizar y una vez monitorizados, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



La verdad es que es un caso complejo, no por el Bagle, sino por el conjunto de malwares, que están enredando la madeja !



Y con lo lento que va el kaspersky, y lo que le ayudan los malwares residentes... paciencia que tiene para rato ! Pero esté seguro que si nos postea dicho informe y nos envia los ficheros que le digamos, pondremos a sus malwares a buen recaudo ! :wink:



saludos



ms, 27-2-2009

[msc hotline sat]

Vaya, terminado mi post, en el que he invertido un buen rato, veo que mientras has añadido un descorazonador mensaje de :


[quote]
Update has failed. Program has failed to start. Close the Kaspersky Online Scanner 7.0 window and open it again to install the program.



You must be online to update the Kaspersky Online Scanner 7 database. With the latest database updates, you can find new viruses and other threats. Please go online to use Kaspersky Online Scanner 7. [ERROR: Scan has failed to start. [0x80004005]][/quote]

Realmente habremos de seguir otro camino, y con todo lo que nos has contado, he de valorar todas las posibiliaddes...



estoy en ello...



bueno, un poco mas distenso de toda su problemática (a veces los árboles no dejan ver el bosque), creo que , vaya, luego sigo...



Requerido para servicios paternos :wink: :roll: , vuelvo al asunto.



Pues como decía, y he ido valorándolo durante este rato, creo que lo mejor será poner este disco duro como esclavo de otro ordenador, y arrancando con el MASTER de dicho equipo, lanzar el AV ONLINE indicado sobre MY COMPUTER, con lo que verá lo que hay en el esclavo sin que nos sea ocultado ni enmarañado por el pupurri de bichos que tiene, y, a la vista del informe, poder pedirle que nos envie los ficheros malware para monitorizarlos e implementar su control eliminación y restauración de claves que modifiquen, en la siguiente versión de nuestras utilidades, de lo cual informaremos.



Va a costarnos, pero acabaremos con él o ellos ! :mrgreen:



saludos



ms, 27-2-2009

ref AR/BA-34.6-58.7

[Tatuu]

yo tengo 3 discos duros en mi pc, mi hno se llevo uno y me lo trae mañana, puedo instalar windows en ese y probar.. pasa que el que uso de principal es de 250 gb y este es de 40 :( va a ser feo :P mañana les informo que onda..

[msc hotline sat]

Da igual el tamaño del MASTER, solo lo queremos para arrancar, conectar a internet y lanzar el AV ONLINE sobre todos los discos indicandole explorar "MY COMPUTER", que mirará todas las unidades.



Y con dicha configuracion convendrá copiar a una carpeta del MASTER los ficheros que se detecten infectados en el disco de marras, y segun los que sean, añadiremos la extension .VIR a los originales, para que no vuelvan a ponerse en marcha a partir del siguiente rienicio, ya como MASTER.



Y enviandonos las muestras que le indicaremos, implementaremos su control y eliminación en nuestras utilidades, de lo cual informaremos.



Ya verá como tiene mas de uno..., juntos y revueltos :wink:



Tan pronto como tenga el informe del AV ONLINE, lo postea y le indicaremos lo procedente.



saludos



ms, 28-2-2009

[Tatuu]

Bueno, venog a contarte uqe pude solucionar el problema sin hacer todo esto por que de pedo me meti a un foro y me dieron un programa

<interceptado>: https://foros.zonavirus.com/viewtopic.php?f=1&t=17044

ahroa estoy sin estos problemas :D me falta limpiarle alguna boludez a la pc.. lo que tiene este programa es que se pudo cargar a pesar de todo..



Gracias igual por todo, enserio lo valoro mucho :)

[msc hotline sat]

Pues lástima que no hiciera lo que le deciamos para que nos hubiera servido para conocer lo que causaba el problema...



pero ya dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 13-3-2009