No consigo limpiar el bagle.fu (SOLUCIONADO)

Nales · Mensaje por **Nales** » 05 Mar 2006, 19:25

Hola a todos.

Tengo un problema, al arrancar el pc (windows XP)el antivirus me detecta el archivo C:\WINDOWS\SYSTEM32\mloader32.dll infectado con el bagle.fu y da un error de winlogon.exe .Tengo que comentar que antes el virus que me aparecía era el bagle.ac y la dll infectada era ldr64.dll pero misteriósamente parece que el virus ha "mutado".

Me he bajado la herramienta de desinfección "Elibagla" pero no me detecta nada. El antivirus (kaspersky)me dice que no puede eliminar ese archivo y que lo ignore. También he pasado la herramienta ElistarA y me dice que envie una copia del C:\WINDOWS\SYSTEM32\mloader32.dll a virus@satinfo.es

Ejecutando el Hijackthis obtengo el siguiente log:

Logfile of HijackThis v1.99.1

Scan saved at 19:10:38, on 05/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

C:\Archivos de programa\ewido anti-malware\ewidoguard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\dwwin.exe

C:\WINDOWS\system32\wscntfy.exe

D:\Descargas\Antivirus\EliStarA.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\Descargas\Antivirus\EliBaglA.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Archivos de programa\eMule\Incoming\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [gcasDtServ] gcasDtServ.exe

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://www.ppstream.com/bin/powerplayer.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113905028278

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O20 - Winlogon Notify: mloader32 - C:\WINDOWS\SYSTEM32\mloader32.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

¿Me podeis echar una mano?

Un saludo y gracias.

Mensaje por **msc hotline sat** » 05 Mar 2006, 19:35

Empiece enviandonos este fichero:

C:\WINDOWS\SYSTEM32\mloader32.dll

a zonavirus@satinfo.es

Para ello, desactive su antivirus, empaquete el fichero en un zip con password virus y lo anexa a un mail a la direccion indicada, en cuyo texto indique la referencia "REF BAGLEWINLOGON"

De esta forma podremos duplicar su problema e implementar en nuestras utilidades el control y eliminacion de este BAGLE, que debe tratarse de una variante de los ya conodcidos y controlados por nuestro ELIBAGLA actual, que puede que ya le pida muestras si no puede arreglarlo:

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

En cualquier caso envienos dicha muestra y la monitorizaremos e informaremos al respecto

cuentenos el resultado del ELIBAGLA tras reiniciar.

saludos

ms, 5-3-2006

Mensaje por **msc hotline sat** » 05 Mar 2006, 19:51

Vea lo que hace poco avisabamos sobre nuevos Bagles:

https://foros.zonavirus.com/viewtopic.php?t=10808

para lo que le pueda servir..,

saludpos

ms, 5-3-2006

Nales · Mensaje por **Nales** » 05 Mar 2006, 19:54

Hola de nuevo.

Tras el reinicio el problema sigue igual.Si acepto cerrar la ventana del error de winlogon.exe me da un pantallazo azul de error.

También he enviado el correo con una copia del virus.

Un saludo

Mensaje por **msc hotline sat** » 05 Mar 2006, 20:01

No te preocupes, ya estamos acostumbrados en cada variante...

A primera hora de mañana daremos prioridad a esta muestra.

Mientras, como respuesta de este Tema, posteanos el informe que se ha creado en C:\infosat.txt a ver si detectamos algo sospechoso...

saludos

ms, 5-3-2006

Nales · Mensaje por **Nales** » 05 Mar 2006, 21:40

Gracias por la ayuda, ahí va el infosat.txt.

Sun Mar 05 19:42:52 2006

EliStartPage v11.27 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\MLOADER32]

Por favor, envienos una muestra del fichero

C:\WinLogon\MLOADER32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\DOCUME~1\NALES\CONFIG~1\TEMP\BAIDUBAR.DLL.Muestra EliStartPage v11.27

a "virus@satinfo.es". Gracias.

C:\PROGRA~1\BAIDU\BAR\BAIDUBAR.DLL --> Eliminado

Eliminada Class, "{B580CF65-E151-49C3-B73F-70B13FCA8E86}" -> C:\Progra~1\Baidu\bar\BaiDuBar.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Mar 05 19:43:44 2006

EliStartPage v11.27 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

C:\Archivos de programa\GIANT Company Software\GIANT AntiSpyware\gcAntiSpywareLibrary.dll --> Eliminado, IamBigbro

C:\Archivos de programa\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe --> Eliminado, IamBigbro

C:\Archivos de programa\GIANT Company Software\GIANT AntiSpyware\gcASSoapLib.dll --> Eliminado, IamBigbro

C:\Archivos de programa\GIANT Company Software\GIANT AntiSpyware\gcSoftwareUpdateLib.dll --> Eliminado, IamBigbro

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Webteh\BSplayerPro\uninstall.EXE --> AutoExtraible

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\patch_pers_5.0.372_375_to_5.0.376.exe --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\patch_pers_5.0.372_to_5.0.375.exe --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\patch_pers_5.0.383_384_to_5.0.385.exe --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\patch_pers_5.0.388_390_to_5.0.391.exe --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Updater reserved files\_QNhBb4mgbEf\patch_pers_5.0.383_to_5.0.384.exe --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Updater reserved files\_QNhBb4mgbEf\patch_pers_5.0.388_to_5.0.390.exe --> AutoExtraible

C:\kav\personal\spanish\kav5.0.149.4_personales.exe --> AutoExtraible

Mensaje por **msc hotline sat** » 05 Mar 2006, 21:46

Ya ves que con el elistara detectamos sospechosos y pedimos muestras...

[quote="elistara"]
Por favor, envienos una muestra del fichero

C:\WinLogon\MLOADER32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\DOCUME~1\NALES\CONFIG~1\TEMP\BAIDUBAR.DLL.Muestra EliStartPage v11.27

a "virus@satinfo.es". Gracias.
[/quote]

Envianoslas todas tal como te hemos indicado, gracias

Nales · Mensaje por **Nales** » 06 Mar 2006, 07:51

[quote="msc hotline sat"]Ya ves que con el elistara detectamos sospechosos y pedimos muestras...

[quote="elistara"]
Por favor, envienos una muestra del fichero

C:\WinLogon\MLOADER32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\DOCUME~1\NALES\CONFIG~1\TEMP\BAIDUBAR.DLL.Muestra EliStartPage v11.27

a "virus@satinfo.es". Gracias.
[/quote]

Envianoslas todas tal como te hemos indicado, gracias[/quote]

Buenos dias,

ya están enviadas las muestras.

Un saludo.

Nales · Mensaje por **Nales** » 06 Mar 2006, 11:54

¿Se sabe algo de lo mio?

Un saludo y gracias.

Mensaje por **msc hotline sat** » 06 Mar 2006, 12:12

Pues vemos que realmente el virus que controlamos con el ELIBAGLA es el del fichero ldr64.dll que posiblemente descargó el otro, el cual pasaremos a controlar en la proxima version, pero nos faltan mas componentes.

Mire si con el mismo nombre existe un fichero EXE o sea mloader32.exe y en tal caso nos lo envia del mismo modo

La DLL enviada no tiene funciones suficientes la DLL enviada, ha de haber algun instaladro, o dropper o complementario

Cuando nos lo envie, diganoslo como respuesta de este Tema, para perseguirlo...

saludos

ms, 6-3-2006

Nales · Mensaje por **Nales** » 06 Mar 2006, 16:35

Me estoy volviendo loco buscando algún .exe como el que comentas pero no hay nada...Además el antivirus,solamente me reconoce como infectado el mloader32.dll.

No sé que hacer...

Mensaje por **msc hotline sat** » 06 Mar 2006, 16:40

Pues prueba el nuevo ELIBAGLA que acabamos de subir a esta web:

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

y tras reiniciar, nos comentas el resultado, gracias

saludos

ms, 6-3-2006

Nales · Mensaje por **Nales** » 13 Mar 2006, 11:43

Siento el retraso de mi contestación pero he estado fuera unos dias.

Comentar que finalmente conseguí limpiar el virus con la nueva versión del ELIBAGLA que me comentaste.

Así que nada, si a alguno se le infeca el ordenador con el bagle.fu ya sabe que aquí puede encontrar la solución que busca.

Un saludo y muchas gracias.

Mensaje por **msc hotline sat** » 13 Mar 2006, 12:10

Pues lo celebramos, y solucionado el problema, procedemos a cerrar el Tema

saludos

ms, 13-3-2006