Como es sabido, el BAGLE modifica la clave SAFEBOOT del registro impidiendo arrancar en modo seguro hasta que se restaura, y asi dificultar su eliminacion, tanto por el Rootkit que incorpora como por la imposibilidad de eliminar dicho virus mientras esté en memoria, pues bien, ya por ello pedimos con el ELIBAGLA que se reinicie, habIendo instalado una clave RUNONCE para que se ejecute de nuevo dicha utilidad en el siguiente reinicio.msc escribió: ELIBAGLA:
http://www.zonavirus.com/descargas/elibagla.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
Pero en las ultimas variantes, persiste la solicitud de siguientes REINICIOS, debido al ROOTKIT, que no es accesible si no se arranca en modo seguro, lo cual inicialmente es imposible, pero no tras haber ejecutado el ELIBAGLA en modo EXPLORACION y tras reiniciar, si pide otra vez reiniciar, hacerlo rapidamente y esta vez en modo seguro:
Por ello, si al procesar el ELIBAGLA indica REINICIAR PARA COMPLETAR LA ELIMINACION, primero EXPLORAR para eliminarlo y, si al reiniciar, repite dicha solicitud, lo que procede hacer es, ahora que ya se podrá, sin perder un segundo, REINICIAR EN MODO SEGURO y lanzar el ELIBAGLA en dicho modo, con lo cual se eliminará totalmente el dichoso BAGLE y no pedirá reiniciar de nuevo, pudiendo ya arrancar en modo seguro para lo que se quiera.
Y es muy importante lo que subrayamos de sin perder un segundo, pues el tiempo cuenta, y si no se va rapidillo y se reinicia rapidamente, el Bagle, aun vivo, volverá a modificar las claves de registro e imposibilitará arrancar en modo seguro como indicamos...
Tenerlo en cuenta en las nuevas infecciones de BAGLE: SI PIDE REINICIAR, TERMINAR EL PROCESO EXPLORANDO, -> REINICIAR -> SI PIDE REINICIAR DE NUEVO, HACERLO ENSEGUIDA EN MODO SEGURO -> Y VOLVER A PASAR EN DICHO MODO EL ELIBAGLA
saludos
ms, 26-2-2008
NOTA:
Recordar por último que este virus corrompe los ejecutables de los antivirus, antispywares, y otras aplicaciones, por lo cual su posterior ejecucion puede indicar que no es una aplicacion WIN32 válida..., y en tal caso debe procederse a desinstalarla e instalarla de nuevo, claro ! ms.