Virus que impide instalar programas antivirus (SOLUCIONADO)

[Ailanto]

Tengo un virus que me impide instalar los antivirus. He probado con varios y con todos pasa lo mismo: no permite la existencia del ejecutable del antivirus. Por ejemplo, si intento instalar el PER antivirus, en la instalación da error al extraer el fichero PAV.exe. Igual con todos los demás (Etrust, Kaspersky, etc). ¿¿¿De qué virus se trata y cómo puedo eliminarlo???

[Nuker]

Prueba ELIBAGLA en Modo Normal ya que parece ser una de las maldades del Bagle, terminado el escaneo posteanos el log que se crearan en Unidad C, con el nombre de infoSat.txt (copias contenido y lo pegas aqui como parte de tu respuesta).





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

[Ailanto]

Thu Mar 08 00:38:13 2007

EliBagle v10.25 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JORGE\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\JORGE\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.25

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"



Thu Mar 08 00:38:45 2007

EliBagle v10.25 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP244\A0050184.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP244\A0050186.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP239\A0044635.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP239\A0045634.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP239\A0045637.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP239\A0045655.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP239\A0045657.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP239\A0046654.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP240\A0046664.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP240\A0046681.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP240\A0046687.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP240\A0046693.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP240\A0046696.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP241\A0046760.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP241\A0046761.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP241\A0046807.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP241\A0046809.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP243\A0046847.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP243\A0046848.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP243\A0047112.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP243\A0047114.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP243\A0047159.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP243\A0047161.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP243\A0047174.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP243\A0048172.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP243\A0048181.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP243\A0049175.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP243\A0049182.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP243\A0049188.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP247\A0051182.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP247\A0051187.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{38E32523-191B-4281-B329-DE9322709A6B}\RP247\A0051193.EXE --> Eliminado Bagle



Thu Mar 08 00:41:37 2007

EliBagle v10.25 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Thu Mar 08 00:41:58 2007

EliBagle v10.25 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[Nuker]

Envia muestra de este fichero:



C:\Muestras\HLDRRR.EXE



Como Enviar ?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[Ailanto]

Creo que ya resolví el problema. Muchas gracias Nuker, este foro es una maravilla

[Nuker]

El virus esta en cuarentena, para eliminarlo completamente debes enviar dicho fichero para agregarlo a la nueva version de ELIBAGLA y asi sea limpiado completamente, te lo pedimos de favor, Gracias.



El fichero es :



C:\Muestras\[b]HLDRRR.EXE [/b]

[msc hotline sat]

Buena puntería nuker !



Esta moda del Bagle con continuas variantes y rootkit que impide verlo si está en memoria, y su bloqueo de arranque en modo seguro, promete...



cada día estamos haciendo un nuevo ELIBAGLA con nuevas variantes, y no parece que tienda a parar, pero parece que ya lo hueles, eh ?



saludos



ms, 8-03-2007

[msc hotline sat]

Se implementa la nueva muestra del bagle en el ELIBAGLA 10.26 de hoy, que estará disponible para evaluacion en esta web a partir de las 20 h GMT





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 8-03-2007

[julibaga]

Hola a todo el foro.

A mí no me lo deja bajar el NOD32 ya que dice que tiene código malicioso. Por lo que obviamente decidí no usarlo.



Salu2

[Nuker]

No es Virus si no un falso positivo, como cualquier antivirus lo tienen pero en este caso el NOD es el que mas alerta sobre ELIBAGLA, aparte usted cree que ofrecerian algo inseguro al publico, tranquilo, descarguelo y uselo, pero antes desactive el residente de su antivirus para que no le salga la falsa alerta, todas las herramientas del foro cuentan con defensa para que no sean infectadas ni modificadas. Saludos.



ELIBAGLA:



http://www.zonavirus.com/descargas/elibagla.asp

[msc hotline sat]

Pues "obviamente" puede probarlo con tranquilidad, como los miles de usuarios que ya lo han hecho satisfactoriamente...



Y todos podemos tener falsos positivos, en este caso es un problema del NOD32, pero a veces tambien nos pasa en alguna de nuestras utilidades, son coincidencias de cadenas de deteccion.



saludos



ms, 9-03-2007

[julibaga]

Ok. Aquí les va.

Efectivamente pude usarlo y eliminar el Bagle de la máquina en cuestión, pero en otra máquina, donde pretendía bajarlo inicialmente, una máquina limpia de virus pero con el mencionado NOD32, ya no tuve la posibilidad de bajarlo ya que aunque desactive el antivirus, lo tiene bloqueado, por lo que supongo que para poder bajarlo en esta máquina tendría que "desinstalar" el antivirus.

Comento esto nada más por hacerles saber con un poco más de detalle.

En fin, el caso es que en el equipo que lo necesitaba ya lo pasé y funcionó perfectamente. Muchas gracias por su ayuda.

[msc hotline sat]

Desactivando el antivirus o simplemente arrancando en modo seguro ya no estará activo ningun antivirus y el ELIBAGLA podrá hacer su trabajo al no impedirselo ningun otro AV



saludos



ms, 9-03-2007

[jaypolmx]

La verdad es que ya no sabía que hacer con este maldito virus que no me dejaba instalar nada. Había borrado el hdlrrr.exe con una utilería llamada killbox pero no sabía si había dejado trazas en el registro o en otros archivos regados por el disco duro.

Elibagla se lo jodió en menos de 3 minutos, en serio, muchas muchas gracias por desarrollar ese pequeño exe. Lamento no poder enviarte copia del hdlrrr.exe pero si me vuelvo a infectar ( :shock: ) lo haré :D

[msc hotline sat]

Bien, recuerda para otra vez que los .log y .txt deben postearse con un copiar y pegar del contenido, pues si lo haces agragandolo como esta vez, se pierde la estruictira del fichero, como puedes ver.



Pero con que nos has indicado ya damos por solucionado el Tema y procedemos a cerrar el Tema



saludos



ms, 12-03-2007