Problema con Virus Bagle (SOLUCINADO)

Annatar · Mensaje por **Annatar** » 31 Ene 2010, 16:20

Veamos. Se ha metido en mi ordenador el virus bagle.

He pasado el Elibagla bajado en esta semana. Me decía que se había desinfectado, pero esto sigue dando problemas pues no me deja arrancar en modo seguro y por supuesto ejecutar ningún programa de seguridad. He intentado reparar el modo seguro con "safeboot repair" y tampoco. Me indica lo siguiente:

Reg export of SafeBoot key after repair:
========================

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot]

========================

SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.
~~\SafeBoot\Minimal\Base
~~\SafeBoot\Minimal\Boot Bus Extender
~~\SafeBoot\Minimal\Boot file system
~~\SafeBoot\Minimal\dmboot.sys
~~\SafeBoot\Minimal\dmio.sys
~~\SafeBoot\Minimal\dmload.sys
~~\SafeBoot\Minimal\dmserver
~~\SafeBoot\Minimal\File system
~~\SafeBoot\Minimal\Filter
~~\SafeBoot\Minimal\PCI Configuration
~~\SafeBoot\Minimal\Primary disk
~~\SafeBoot\Minimal\RpcSs
~~\SafeBoot\Minimal\SCSI Class
~~\SafeBoot\Minimal\sermouse.sys
~~\SafeBoot\Minimal\System Bus Extender
~~\SafeBoot\Minimal\vga.sys
~~\SafeBoot\Minimal\vgasave.sys
~~\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}

========================

Error: Key: system\currentcontrolset\control\safeboot\minimal does not exist!

Posteo el infosat

(27-1-2010 14:48:41)
EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\SKYNET\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\SROSA2.SYS --> Eliminado Bagle(rootkit)
C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Bagle(rootkit) Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\SKYNET\DATOS DE PROGRAMA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\SKYNET\DATOS DE PROGRAMA\M\LIST.OCT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\SKYNET\DATOS DE PROGRAMA\DRIVERS\DOWNLD\113359.EXE --> Eliminado Bagle(drzip)
Por favor, envienos una muestra del fichero
C:\Muestras\124828.EXE.Muestra EliBagle v13.48
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\SKYNET\DATOS DE PROGRAMA\DRIVERS\DOWNLD\124828.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\SKYNET\DATOS DE PROGRAMA\DRIVERS\DOWNLD\163421.EXE --> Eliminado Bagle
Eliminado Servicio, "srosa"
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

(27-1-2010 14:51:30)
EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\SKYNET\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\WFSINTWQ.SYS --> Eliminado Bagle(rootkit)
C:\DOCUMENTS AND SETTINGS\SKYNET\DATOS DE PROGRAMA\M\FLEC006.EXE --> Eliminado Bagle.dldr
Entrada Eliminada [HKCU\...\Run] "drvsyskit"="C:\Documents and Settings\Skynet\Datos de programa\drivers\winupgro.exe"
Entrada Eliminada [HKCU\...\Run] "german.exe"="C:\WINDOWS\system32\wintems.exe"
Entrada Eliminada [HKCU\...\Run] "mule_st_key"="C:\Documents and Settings\Skynet\Datos de programa\m\flec006.exe"
Restaurada Clave: "SafeBoot\Minimal y Network"

(27-1-2010 14:51:39)
EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 9085
Nº Total de Ficheros: 53459
Nº de Ficheros Analizados: 11195
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(27-1-2010 15:2:42)
EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\Drivers"
Eliminada Carpeta "%AppData%\M"

(27-1-2010 15:2:44)
EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 286
Nº Total de Ficheros: 1794
Nº de Ficheros Analizados: 195
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

(27-1-2010 15:7:17)
EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):

(27-1-2010 15:7:19)
EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 9161
Nº Total de Ficheros: 53568
Nº de Ficheros Analizados: 11202
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(31-1-2010 15:0:58)
EliBagle v13.48 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 25 de Enero del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\BAN_LIST.TXT --> Eliminado Bagle

y envío ahora mismo la muestra del viruus recogida por el Elibagle.

Saludos y espero que me puedan ayudar.

Annatar · Mensaje por **Annatar** » 31 Ene 2010, 16:36

Muestra de virus enviada por email.

A la espera de respuesta y consejo.

Mensaje por **msc hotline sat** » 31 Ene 2010, 18:34

Sí, claro, ya ves que se te pedían estan dos muestras:

Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v13.48
C:\Muestras\124828.EXE.Muestra EliBagle v13.48

Pero además estas usando una versión antigua, ya que la actual es la 13.51, y la que estás usando es la 13.48...

Igual ya está controlado actualmente !

Por esto siempre se ha de probar la última versión disponible..., y ya decíamos el viernes, http://www.zonavirus.com/descargas/elibagla.asp

En fin, si quieres descargala y comprueba si ya se controla, y sino, lo veremos mañana, cuando volvamos al trabajo en SATINFO, e informaremos

saludos
ms, 31-1-2010

NOTA: En cualquier caso, si tienes ficheros .ZIP, recuerda que los últimos Bagle guardan en ellos un fichero infectado para que el día de mañana, cuando se desempaqueten, aparezcan dichos ficheros y provoquen la reinfección del Bagle, por lo que, tal como decíamos en http://www.zonavirus.com/noticias/2010/ ... de-hoy.asp

sugiero vuelvas a probar el ELIBAGLA, para lo cual te vale la que tienes, ya que justamente lo indicado es a partir de la 13.48 que es la que tienes, marca la casilla de mirar en ZIP, y verás si se detecta infección en el interior de alguno, y puedas proceder en consecuencia. ms.

Mensaje por **msc hotline sat** » 01 Feb 2010, 12:48

Recibidas las dos muestras, una de ellas ya es controlada por la version actual del ELIBAGLA, 13.51 y la otra es una nueva variante que pasamos a controlar desde la version de hoy 13.52

Por si se tratara de uno de los resistentes, recuerde lo que se ha indicado a GRN en viewtopic.php?f=5&t=31021 , ademas de reiniciar rápidamente en modo seguro, el marcar la casilla de MIRAR LOS ZIP, pues si tienes ficheros empaquetados de dicho tipo, te habrá dejado "regalitos" dentro.

Descarga la version de hoy y la pruebas conforme indicado y nos informas del resultado, gracias:

msc escribió: ELIBAGLA:
http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos
ms, 1-2-2010

Annatar · Mensaje por **Annatar** » 01 Feb 2010, 16:30

Acabo de conseguir quitarlo con la versión que salió el viernes. Todo ha vuelto a la normalidad, me eliminó las muestras y el Bagle. Después pasé al modo seguro y pasé Malwarebytes, Spybot, Superantispayware, Bitdefender online y CCcleaner y me terminaron de quitar restos del bagle que quedaban por el ordenador en windows y programas. No obstante, para mayor seguridad volveré a pasar el Elibagla de hoy y así me quedo más tranquilo.

Os agradezco mucho la ayuda prestada. Me ha sido muy útil. No falláis nunca.

Saludos.

Mensaje por **msc hotline sat** » 01 Feb 2010, 18:50

Sí, acabamos de subir la 20.23 del ELSTARA y la 13.52 del ELIBAGLA

Pruebala marcando la casilla de MIRAR ZIP, por si las moscas

y una vez lo hayas hecho nos indicas si encontró algo mas o ya pasamos a dar por solucionado el Tema y lo cerramos.

saludos
ms, 1-2-2010

Annatar · Mensaje por **Annatar** » 02 Feb 2010, 02:01

Solucionado. No me ha dado ningún problema al pasarlo. Posteo Infosat más abajo.

Si quiero comentar una cosa: pensando de donde ha venido el virus, sospecho que está en un disco duro externo. ¿Que me aconsejan para limpiarlo? ¿Cómo hacerlo sin que se me infecte al conectar al ordenador recién limpio?

(1-2-2010 22:50:9)

EliBagle v13.52 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 1 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Acción Directa):

(1-2-2010 22:50:14)

EliBagle v13.52 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 1 de Febrero del 2010)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 9131

Nº Total de Ficheros: 65090

Nº de Ficheros Analizados: 11477

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 02 Feb 2010, 05:24

Dicho disco duro externo, lo puedes conectar como esclavo y no ejecutar nada desde él, y prueba el ELIBAGLA que tienes seleccionando la unidad en cuestion, y recuerda lo de MIRAR ZIP.

Solo se ejecutaría si lo hicieras manualmente o si lo colocaras como master, o si desde el master alguna aplicacion ejecutara algo infectado de dicho esclavo, cosa que espero que no sea el caso, y si fuera el caso... ya conoces el ELIBAGLA

Y dando el Tema por solucionado, procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos.

saludos
ms, 2-2-2010

Problema con Virus Bagle (SOLUCINADO)

Problema con Virus Bagle (SOLUCINADO)

Re: Problema con Virus Bagle

Re: Problema con Virus Bagle

Re: Problema con Virus Bagle

Re: Problema con Virus Bagle

Re: Problema con Virus Bagle

Re: Problema con Virus Bagle

Re: Problema con Virus Bagle