Consecuencias de virus bagle (SOLUCIONADO)

[npi]

Bueno ayer postee que tenia ese virus y que no pudia quitarlo aunque al poco pude seguir las instruciones y eliminarlo preo resulta que al intentar ver los archivos y capetas ocultos no me aparece esa opcion es opciones de carpeta herramientas no se si sera una consecuencia de haberlo tenido o que todabia tengo algo ¿Podriais ayudarme ? Gracias .

[lucl]

Pues si mira echa un vistazo a este link en el que informamos precisamente de eso, luego nos indicas si lo has solucionado, saludos



https://foros.zonavirus.com/viewtopic.php?f=12&t=24765

[msc hotline sat]

Si con ello no fuera suficiente, lanza el ELISTARA, no sea caso que ademas tengas algun ONLINE GAMES que tambien, que tambien impiden descocultar, aunque lo hacen de otra manera.


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 18-05-2008

[npi]

Pues sigo con el mismo problema he pasado las herramientas en modo fallo pero sigo sin poder desocultar he leido que el virus modifica el registro no podriais darme una copia de como deben estar las carpetas que modifica en el registro para compararlas con las mias por lo visto el problema esta en dos carpetas del registro pero no se como se hace ni como deben estar o dejo esto para ver si podeis aclararme la solucion:



SOLUCIÓN

Analice el equipo con un antivirus actualizado. Una vez que se haya asegurado de que el sistema está limpio, siga estos pasos:



1. Abra Inicio, Ejecutar, escriba regedit y pulse Aceptar.

2. Acceda a la clave

HKLM\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folde...

Hidden\NOHIDDEN.



Verifique que los valores CheckedValue y DefaultValue de la parte derecha contengan sendos 2. Estos valores deben ser de tipo DWORD. Si fueran de tipo alfanumérico (REG_SZ), selecciónelos, haga clic sobre Edición, Eliminar, Sí y créelos de nuevo (Edición, Nuevo, Valor DWORD).

3. Acceda a la clave

HKLM\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\

Folder\Hidden\SHOWALL.



4. Verifique que el valor CheckedValue contenga un 1 y que DefaultValue contenga un 2. Modifíquelos si fuese necesario. Sus tipos deben ser también DWORD.

5. Haga clic sobre Archivo, Salir.

Nota: HKLM representa HKEY_LOCAL_MACHINE.



mas info...

[lucl]

Veras primero buscalas en tu pc a ver si las encuentras , si no es asi sigue las instrucciones que dejo Bobby de como lo hizo el, te copio



[b]esta mañana en el PC de mi trabajo, he seguido el camino “Inicio-Ejecutar- teclear “regedit”-Archivo-Exportar” y he podido hacer una copia del registro de Windows del PC de mi trabajo y la he dejado ubicada en el escritorio. Después la he copiado en mi lápiz de memoria y al venir a comer me la he traído a casa.

Una vez iniciada la sesión de Windows, he copiado esta copia en mi escritorio y directamente allí la he ejecutado haciendo doble clic, he aceptado todo lo que me ponía, he reiniciado y …..¡POR FIN!. Ya tengo de nuevo la carpeta con la elección de ocultar o mostrar archivos y carpetas ocultos en “Mi Pc-Herramientas-Opciones de carpeta-Ver” y puedo ver de nuevo archivos y carpetas ocultos.[/b]



Saludos

[npi]

Voy a intentar lo mismo desde el ordendor de mi cuñao supongo que copiaste las carpetas Hidden conmpleta con nohidden showall y me llevare tambien la superhidden ya os contaré luego espero tener la misma suerte que tu.Me pregunto que si la hago de todo el registro completo podria tener problemas para abrir los programas que tengo en mi pc que no son los mismos que lo de mi cuñao a ver que podeis decirme sobre esto primoero voy a probar exportando solo las carpetas que he mencionado a ver si funciona solo con eso.

[msc hotline sat]

De todas formas todo esto ya está implementado en la actual version del ELIBAGLA, por ello pienso que puedas tener ademas alguna variante de ONLINE GAMES y te pedia que probaras el ELISTARA, y nos postearas el contenido del infosat.txt resultante...



saludos



ms, 18-05-2008

[npi]

Eurekaaaaaaaaaaaaaaaaa ya esta solucionado con el metodo de exportar claves de registro como me aconsejabais de todas maneras pongo los resultados que me pides es que se me habia olvidado por si sirve para alguien y para la nueva herramienta.Las dos las pase en modo fallos os recuerdo que no solucionaron el problema y que lo he solucionado exportando las claves de registro de otro ordendor en teoria la herramienta Eligable deberia haber recuperado las claves pero no lo hizo no se si sera por que es una nueva version del virus bueno gracias y hasta la proxima ah y m***da pal que hizo el virus jajajjajajajaj. (con perdon)



Sun May 18 12:51:26 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5174

Nº Total de Ficheros: 50016

Nº de Ficheros Analizados: 19374

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun May 18 13:03:30 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sun May 18 13:03:32 2008

EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5174

Nº Total de Ficheros: 50018

Nº de Ficheros Analizados: 13089

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Bien pues entonces cerramos el tema dandolo por solucionado vuelve cuando quieras, saludos

[msc hotline sat]

POSTCIERRE:



Pues hoy vamos a implementar mas código en una nueva version del ELIBAGLA 11.38 de hoy, con comprobacion de todas las claves que pudieran afectar y reposicion de las que faltaran, a ver si con ello evitamos estos quebraderos de cabeza y facilitamos la restauracion de las claves modificadas por cualquier Bagle.



Nos parece que intentan prescindir del Rootkit que ocultaba procesos y ficheros, como el SROSA.EXE y en su lugar ocultan los ficheros que intervienen y dificultan poder acceder a ver los ocultos.



A ver si con ello lo solucionamos y no persisten las incidencias al respecto...



saludos



ms, 19-05-2008



NOTA: [b][i]Además, hemos recibido la muestra que nos has enviado y se trata de una nueva variante de bagle, cuyo control tambien implementaremos en el mismo ELIBAGLA de hoy indicado[/i][/b]. ms.