Ayuda con Posible variante de Bagle (SOLUCIONADO)

[Stone_FREE_]

Saludos a todos :wink:



Un amigo me llamó por un problema en su PC windows XP. No se podía conectar a internet, el antivirus le había desaparecido y no le dejaba instalar ningún otro antivirus. Le pasé el Elibagla actualizado pero no encontró nada.

Al revisar estaba deshabilitado el regedit, pero utilicé el autoruns para ver los archivos que se cargan al iniciar la PC. Vi varios sospechosos y los eliminé de las claves de autorun. Entré a services.msc y había un servicio sospechoso, pero al detenerlo y deshabilitarlo, al poco rato volvía a activarse. Entré en modo a prueba de fallos a ver los servicios, y aparecieron muchos servicios más sospechosos. Los deshabilité y además volví a borrar las entradas sospechosas del autorun y al reiniciar ya podía conectarme a internet, pero apareció un fondo de pantalla que me decía que mi PC estaba infectada y se abrió un programa con un icono en forma de escudo, que me decía que estaba haciendo un escaneo de mi PC (típico virus). Cerré ese proceso desde el administrador de tareas y lo eliminé de autorun y desapareció por completo al reiniciar. Pero habían varios procesos más que habían aparecido. Entré en modo a prueba de fallos, y a pesar de estar en éste modo, pude ver que habían unos 3 procesos extraños que se estaban cargando (normalmente en modo a prueba de fallos estos procesos del virus no se deberían cargar :o )

Volví a eliminar los servicios sospechosos y las entradas del autorun, pero al reiniciar en modo normal, otra vez se empezaban a cargar procesos extraños, luego se cerraban, se abrían otros, y finalmente quedaban unos 3 procesos raros y no puedo eliminarlos. Y ahora ya no me deja abrir el autoruns.exe ni el hijackthis (al abrirlos, se cierran a los pocos segundos. Antes si podía abrirlos) Y aun no se puede instalar ningún antivirus y al entrar a páginas de scanner online, se cierran las páginas :?

Envío muestras de archivos sospechosos

[msc hotline sat]

No nos dice qué servicios, procesos y ficheros eliminó, detuvo y los que ahora envia, asi que hemos de esperar a tener las muestras para empezar a trabajar en el Tema



Pero mientras, descargue el SPROCES y tras probarlo, posteenos el informe resultante :


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 25-6-2009

[msc hotline sat]

Recibido un empaquetado con 19 ficheros de los cuales uno es un .PF que no sirve para monitorizar y se descarta.



Los otros 18 todos presentan rutinas víricas variadas, por lo que los pasaremos a monitorizar y ver los cambios que producen en el registro y en los ficheros, para tratar de restaurar todo lo posible, a lo inicial.



Evidentemente sería consejable RESTAURAR SISTEMA A UN PUNTO ANTERIOR LIMPIO, pero dudo que ante tal magnitud de variantes, sean recientes, y tengan un punto de restauracion disponible, pero si lo tuvieran, procedan con ello, siempre es lo mejor, si se puede, claro.



Los entramos en cola de monitorización e investigación y desarrollo de nuevas versiones de utilidades, e informaremos cuando se controlen.



saludos



ms, 25-6-2009

[Stone_FREE_]

Gracias por la respuesta

No tuve la precaución de copiar el nombre de los servicios y procesos que detuve y eliminé al comienzo del problema. Eran algo de 10 servicios que detuve y que solo fueron visibles al entrar en modo seguro y también algunas entradas que eliminé del autoruns. Pensaba que iba poder solucionar el problema solo eliminando las entradas víricas que se cargan al iniciar la PC, pero éste virus se multiplica y es imposible eliminarlo ni en modo seguro. Recuerdo que a una clave del autorun la eliminaba, y esta volvía a aparecer pero con otro nombre. La eliminaba nuevamente y a los pocos segundos aparecía con otro nombre.



Los archivos que mandé uno son del servicio que siempre se carga y no puedo borrar (bndmss.exe), dos archivos que aparecen en los procesos al prender la PC (liser.exe y 6140517bc5f508fca31b3e72f0ef8677.exe), otros 2 archivos que encontré en mi pendrive al insertarlo en la PC infectada (autorun.exe y exec.exe) y algunos otros que encontré sospechosos. Parece que el virus mutaba porque antes de irme de la casa de mi amigo ya no me dejaba entrar a modo seguro… se quedaba cargando y nunca llegaba a entrar a Windows. La opción de Restaurar Sistema no se encontraba disponible desde el inicio del problema, aunque el Servicio de restaurar sistema se encontraba activo, y en opciones me decía que la unidad C estaba supervisada.



Ahora voy a ver nuevamente la PC y mandaré los informes. Si más adelante es necesario formatear habrá que hacerlo, y decirle a mi amigo que proteja su pendrive con el Elipen.



Saludos

[msc hotline sat]

Pues tiene toda una colección, backddoors, downloaders, clickers, buzus, palevo, wow, y si bien algo le pudo entrar por pendrive, y otros a traves de un downloader, mas bien no es propio de una infeccion sino de jchas y variadas, a lo largo del tiempo.



Pero bueno, se iran monitorizando, intercalandolas con las de los clientes y urgencias, para lo que están en cola de proceso, ya iremos informando



saludos



ms, 25-6-2009

[Stone_FREE_]

Hola ms, ya pude solucionar el problema. Te comenté que ayer antes de irme de la casa de mi amigo ya no me dejaba entrar en modo a prueba de fallos. Hoy me llamó y me dijo que ahora no entraba a windows, que se quedaba la foto de fondo de pantalla y no aparecía nada más (algo parecido me pasó cuando instalé en mi PC un rootkit en la carpeta del escritorio de windows :lol: ). Trajo su PC a mi casa, saqué el disco duro y lo puse en mi PC, luego lo revisé con mi antivirus encontrando 714 archivos víricos :shock:

http://i41.tinypic.com/2wf1lkx.jpg



Los eliminé, regresé el disco duro a su pc original y pude entrar a windows y ya no aparecieron los procesos víricos que siempre se cargaban. Luego entré al regedit y a services y eliminé las entradas víricas que aún permanecían ahí. Parecía que ya estaba todo bien, pero al querer instalar algún antivirus no me dejaba hacerlo. Ejecuté el ElistarA y apareció un mensaje que había encontrado un troyano. Luego de ésto ya pude instalar el antivirus. Espero que no hayan quedado rezagos de los efectos de los virus, estuve testeando la pc y parece que todo está bien.



Gracias por tu ayuda, si quieres algún dato me lo haces saber



Saludos

Stone_FREE_

[msc hotline sat]

Sí, ya te indiqué que tenías de todo. :roll:



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 26-6-2009