Borrar claves de registro despues de limpiar un Bagle

[Pako15]

Estimados amigos.



Mi nombre es Pablo y soy de Argentina

Se me había colado un Bagle y obviamente no podía ni entrar en modo seguro ni utilizar los programas conocidos para erradicarlo. Por fín luego de muchas horas y muchos intentos logré vencerlo usando una batería pero especialmente el UnHackme que por fin me ayudó en la limpieza.

El tema es que ahora si bien todo funciona correctamente todavía quedan en mi registro muchas claves en HKEY-LOCAL_MACHINE-SYSTEM con clave LEGACY ( en donde figura srosa y LEGACY_NEW_DVR y demas elementos pertenecientes al virus )

Intenté borrarlas con RegSeeker, Avenger y RegASSASSIN, pero es imposible.

Hay formas de eliminarlas? y en caso contrario significan algún peligro?

Desde ya muchas gracias por la ayuda que me puedan brindar y quedo a su disposición para colaborar con el foro en lo que mis modestos conocimientos puedan servirles.

[msc hotline sat]

No sé porqué te has complicado la vida, cuando en este foro disponemos del ELIBAGLA de evaluacion para todo ello, restaurar claves de registro para poder arrancar en modo seguro, eliminar rootkit correspondiente y demás...



Prueba el ELIBAGLA y comentanos el resultado:




[quote="para descargar el ELIBAGLA, msc"]


http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 21-3-2009

[Pako15]

Obviamente con el primero que probé fue con el querido elibagla pero ninguno de los que bajé de distintas páginas, me permitió usarlos ya que se cerraban sin darme posibilidad de escanear.

Probablemente mi pregunta no fue clara por lo que voy a volver a plantearla.

YA ELIMINÉ EL VIRUS Y LA MÁQUINA FUNCIONA A LA PERFECCIÓN.

Mi duda es si las claves que quedaron en el registro y que mencionan a Srosa o a Legacy_new_drv, son peligrosas y en casa de serlo de que forma se pueden eliminar en forma permanente ya que con los programas que mencioné ( REGSEEKER. AVENGER, REGASSASSIN, ELIBAGLIA ) y algún otro, no pude lograrlo.

Gracias de nuevo por su atención

[msc hotline sat]

Justamente nuestras utilidades, aparte de eliminar los ficheros víricos que detectamos, eliminan las claves correspondientes, incluso si ya no encuentran dichos ficheros, pero claro, siempre que puedas lanzar dicha utilidad, que no entiendo como no podías hacerlo ???



Has descargado la última version ??? porque ahora soslayamos un problema que provocaban algunos virus que impedian poder usar rutinas de C++ con lo que quedaban bloqueadas muchas aplicaciones...



Si ahora has podido lanzarla, posteanos el contenido de c:\infosat.txt , gracias



saludos



ms, 22-3-2009

[Pako15]

Evidentemente el bicho se apodero de todas las aplicaciones que tenía en mi pc y que podía eliminarlo, por eso supongo que el que funcionó adecuadamente fue el UnHackMe que lo tenía en un cd.

Según sus instrucciones pasé nuevamente el Elibagla cuyo info adjunto, y que demuestra que no existe mas el Bagle pero luego de eso pasé el RegSeeker y nuevamente aparecieron las claves que me preocupan y que adjunto capturas para mejor compresión.

Creo que esas claves tienen que ver con el virus o tal vez sea que yo este demasiado perseguido y no tienen nada que ver.

Espero sus conclusiones y desde ya muchísimas gracias por su buena voluntad.

[msc hotline sat]

Se ha olvidado de anexar o copiar y pegar los informes indicados... :?



recuerde : https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



y tenga presente que algunas aplicaciones instaladas puedes haber quedado afectadas por el Bagle y, sin estar infectadas, indicar "No es una aplicacion wind32 correcta", por lo que necesiten ser reinstaladas.



Ademas de que los ELI*.* no indican las claves que restauran, ya que son miles..., por ejemplo el ELIBAGLA las que corresponden a los casi 700 variantes que controla, o el ELISTARA casi 9000.



Pero veamos los informes y obraremos en consecuencia.



saludos



ms, 22-3-2009

[Pako15]

Vuelvo a enviar el análisis por las dudas que no hayan podido verlo



(20-3-2009 15:33:47)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\147546.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\147593.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\151296.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\157203.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\158515.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\178296.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\182421.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\196234.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\199218.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\199453.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\222218.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\272812.EXE --> Eliminado Bagle.dldr

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\329375.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\335406.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\340171.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\341328.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\346671.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\356062.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\356281.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\360234.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\377843.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\381093.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\385656.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\401484.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\404203.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\412484.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\437015.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\454640.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\470734.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\490046.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\496000.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\504875.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\513046.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\520687.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\569265.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\614296.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\AX\DATOS DE PROGRAMA\DRIVERS\DOWNLD\623109.EXE --> Eliminado Bagle



(20-3-2009 15:34:30)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%AppData%\Drivers"



(20-3-2009 15:34:32)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10084

Nº Total de Ficheros: 73702

Nº de Ficheros Analizados: 9276

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(20-3-2009 23:20:38)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(20-3-2009 23:20:41)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10022

Nº Total de Ficheros: 72903

Nº de Ficheros Analizados: 9289

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(22-3-2009 2:32:55)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(22-3-2009 2:39:6)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(22-3-2009 14:58:52)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(22-3-2009 14:58:56)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10040

Nº Total de Ficheros: 73034

Nº de Ficheros Analizados: 9291

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Luego de esto volvieron a aparecer claves de srosa y legay_new_dvr en el registro

Tengo capturas realizadas pero no se como postearlas.

Gracias por el esfuerzo.

Saludos

[msc hotline sat]

Las capturas de pantalla de poco nos sirven, lo que parece es que tienes alguna variante del rootkit del SROSA no controlado.



Mira si puedes arrancar en modo seguro, y mira si encuentras un SROSA*.* en alguna parte...



Y si no puedes arrancar en modo seguro, lanza el ELIBAGLA y reincia a continuacion pulsando repetidamente F8 y escoge ARRANCAR EN MODO SEGURO.



y cuando encuentres el SROSA, le añades la extension.VIR y nos lo envias para controlarlo



Pero si puedes arrancar en modo seguro directamente, señal que no lo tienes vivo, seguramente son restos de los procesos con otras utilidades ???



saludos



ms, 23-3-2009





NOTA:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

[Pako15]

Puedo entrar en modo seguro sin problemas por lo que pienso que el bicho esta muertito pero siguen apareciendo esas claves imposibles de eliminar.

Pase Ebibagla y Malbarebytes en modo seguro, el Ebibaglia dió un informe igual al anterior y el de malbare lo copié pero aparece sin problemas aparentes.

Tambíén envío un HijackThis a ver si encuentran algo sospechoso y copié las claves que obtuve con el Regseeker luego de pasarles los programas mencionados en modo seguro.



HIJACKTHIS

Logfile of Trend Micro [u]HijackThis[/u] v2.0.2

Scan saved at 14:58:54, on 23/03/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\KWorld Multimedia\TV Tuner Card Utilities\HMCP3XCtl.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wwSecure.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=218.147.239.4:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~4\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Remote Control.lnk = C:\Archivos de programa\KWorld Multimedia\TV Tuner Card Utilities\HMCP3XCtl.exe

O8 - Extra context menu item: Download Video - http://www.viloader.net/addon.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~4\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~4\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://edownload.grisoft.cz/ewidoOnlineScan.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~4\Office12\GR99D3~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVOK - ALWIL Software - (no file)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe



--

End of file - 5703 bytes



MALBAREBYTES



Malwarebytes' Anti-Malware 1.34

Versión de la Base de Datos: 1875

Windows 5.1.2600 Service Pack 2



20/03/2009 11:31:11

mbam-log-2009-03-20 (11-31-09).txt



Tipo de examen : Examen Rápido

Objetos examinados: 83083

Tiempo transcurrido: 7 minute(s), 43 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 0

Valores del Registro Infectados: 0

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 1

Ficheros Infectados: 7



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

(No se han detectado elementos maliciosos)



Valores del Registro Infectados:

(No se han detectado elementos maliciosos)



Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)



Carpetas Infectadas:

C:\Documents and Settings\ax\Datos de programa\m (Trojan.Agent) -> No action taken.



Ficheros Infectados:

C:\Documents and Settings\ax\Datos de programa\m\data.oct (Trojan.Agent) -> No action taken.

C:\Documents and Settings\ax\Datos de programa\m\list.oct (Trojan.Agent) -> No action taken.

C:\Documents and Settings\ax\Datos de programa\m\srvlist.oct (Trojan.Agent) -> No action taken.

C:\Documents and Settings\ax\Datos de programa\drivers\winupgro.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> No action taken.

C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> No action taken.

C:\Documents and Settings\ax\Datos de programa\m\flec006.exe (Trojan.Agent) -> No action taken.



CLAVES IMBORRABLES



HKEY_LOCAL_MACHINE

SYSTEM\ControlSet011\Enum\ Root\ LEGACY_SROSA



HKEY_LOCAL_MACHINE

SYSTEM\ControlSet011\Enum\ Root\ LEGACY_SROSA\0000

Service srosa



HKEY_LOCAL_MACHINE

SYSTEM\ControlSet012\Enum\ Root\ LEGACY_SROSA



HKEY_LOCAL_MACHINE

SYSTEM\ControlSet012\Enum\ Root\ LEGACY_SROSA

Service srosa



HKEY_LOCAL_MACHINE

SYSTEM\ControlSet013\Enum\ Root\ LEGACY_SROSA



HKEY_LOCAL_MACHINE

SYSTEM\ControlSet011\Enum\ Root\ LEGACY_SROSA

Service srosa



HKEY_LOCAL_MACHINE

SYSTEM\CurrentControlSet \Enum\ Root\ LEGACY_SROSA



HKEY_LOCAL_MACHINE

SYSTEM\ControlSet013\Enum\ Root\ LEGACY_SROSA

Service srosa







HKEY_LOCAL_MACHINE

SYSTEM\ControlSet011\Enum\Root’LEGACY_NEW_DRV



HKEY_LOCAL_MACHINE

SYSTEM\ControlSet012\Enum\LPTENUM’LEGACY_NEW_DRV



HKEY_LOCAL_MACHINE

SYSTEM\ControlSet012\Enum\RootP’LEGACY_NEW_DRV



HKEY_LOCAL_MACHINE

SYSTEM\ControlSet013\Enum\LPTENUM‘LEGACY_NEW_DRV



HKEY_LOCAL_MACHINE

SYSTEM\ControlSet013\Enum\Root’LEGACY_NEW_DRV



HKEY_LOCAL_MACHINE

SYSTEM\CurrentControlSet\Control\DeviceClasses{fd0a5af4-b41d-11d2-9c95-00c04f7971e0}’legacy_new_drv



HKEY_LOCAL_MACHINE

SYSTEM\CurrentControlSet\Enum\LPTENUM’LEGACY_NEW_DRV



HKEY_LOCAL_MACHINE

SYSTEM\CurrentControlSet\Enum\Root’LEGACY_NEW_DRV



Desconozco si hay otras claves que tengan que ver con el Bagle eliminado.

Lamento tantas complicaciones y el tiempo que le están dedicando a mis dudas por los que les quedo sumamente agradecidos.

[msc hotline sat]

Pues está claro que le faltan muchos parches:



Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Lance un windowsupdate e instale los que encuentre a faltar.





Luego envienos estos ficheros para analizar:



C:\Documents and Settings\ax\Datos de programa\drivers\winupgro.exe

C:\WINDOWS\system32\mdelk.exe

C:\WINDOWS\system32\wintems.exe

C:\Documents and Settings\ax\Datos de programa\m\flec006.exe





Tras recibirlos, los analizaremos y monitorizaremos su comportamiento para ver las claves que generan y poder detener procesos, eliminar los ficheros y restaurar las claves modificadas a sus valores originales, como hacemos con todas las muestras que recibimos.



saludos



ms, 23-3-2009

[Pako15]

Haré como me sugiere pero antes debo retirar del disco c información que para mi es muy importante porque cada vez que actualicé mi windows tuve problemas.

Eso me llevará un tiempo.

Cuando actualice vuelvo a comunicarme con el foro y mientras tanto mi agradecimiento por toda la buena voluntad.

[msc hotline sat]

Pues hagalo al reves, primero envienos las muestras para que podamos implementar su control y eliminacion en la proxima version del ELIBAGLA, ya que de lo contrario está propagando dicho virus y sufriendo sus consecuencias. Luego ya actualizará los parches cuando pueda, sin olvidarse de ello, claro, porque de lo contrario es vulnerable a otros virus, y uno de ellos, el Conficker, ha afectado a mas de 10 millones de ordenadores, y no hay antivirus que valga para impedir su entrada, solo tener los parches actualizados...



saludos



ms, 27-3-2009

[Pako15]

Haría con gusto lo que me solicitan pero lamentablemente esas carpetas no son visibles ni aun colocando mostrar carpetas ocultas.

Cuando pasé los antivirus y los antispyware desaparecieron quedando solo visibles las claves que mencioné en el registro.

No quisiera perjudicar a nadie y si no tengo mas remedio después de sacar la información formatearé mi disco C.

[msc hotline sat]

Si puede arrancar en modo seguro, y aun asi no puede llegar a los ficheros, descargue el ELIMOVER, indique la ruta y nombre de cada uno y vea si los puede copiar a la carpeta C:\muestras, desde donde luego podrá enviarnoslos.



Ademas, marque la casilla inferior izquierda de la pantalla de dicha utilidad, para que se renombre a .VIR la extension de dichos ficheros y que asi no puedan volver a ejecutarse en el proximo reinicio.



Y tras recibir las muestras, las analizaremos e implemnentaremos su control y eliminaicon en nuestras utilidades, de lo cual informaremos



saludos



ms, 27-3-2009