Bagle, Blaster y Sasser

[yosi666]

Hola a todos,

Qué de tiempo sin escribir un post ya que con buscar en este bendito foro normalmente he encontrado solución a todo!!!

Pues bien, les cuento que ahora me he quedado un poco atascado a la hora de eliminar un virus. Era, en principio el bagle que me vino en un archivo comprimido. Me quitó el acceso al antivirus y todos los programas de protección y el modo a prueba de fallos. Conseguí siguiendo sus procesos eliminarlo, recuperé mis programas (menos virus y zonealarm q hubo q reinstalar)pero han pasado cosas nuevas cuando ya creía que todo estaba solucionado:

A saber; parece como si hubiera vuelto el blaster y el sasser (q gracias o por ellos conocí este foro) ya que tengo el típico síntoma del apagado con el mensaje ... NT AUTHORITY/SYSTEM ( del archivo system32/servicios.exe), con el svchost.exe en servicio de red. Pero no me los encuentran los virus ni las típicas herramientas del fixsasser y fxblaster. Además ha desaparecido la posibilidad de ver archivos ocultos en las carpetas y no se ven todas las actualizaciones de seguridad descargadas para winxp (actualmente lo único que veo es el service pack3). De momento ahí voy. Ahora voy a pasarle de nuevo el spybot, el adaware, ccleaner, regcleaner y avgantivirus en modo a prueba de fallos y luego posteo el hijack. Pero por si alguien puede ir dando una idea.

Muchas gracias!

[msc hotline sat]

Para ello tenemos el ELIBAGLA, pruebalo y nos comentas el resultado:


[quote="para descargar el ELIBAGLA, msc"]


http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

y como que hay variantes muy resistentes, por si es el caso adelanto:



https://foros.zonavirus.com/viewtopic.php?f=5&t=23824



saludos



ms, 25-05-2008

[yosi666]

Perdón por no explicarme bien. De hecho me refería al ELIBAGLA cuando decía que con las instrucciones me había recuperado el safeboot y los programas (gran herramienta como todas las de satinfo)

Ahí van el reporte de las veces que lo he pasado




[quote] Fri May 23 22:32:34 2008

EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri May 23 22:48:27 2008

EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Fri May 23 22:50:45 2008

EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

Restaurada Clave: "SafeBoot\Minimal y Network"



Fri May 23 22:51:22 2008

EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr



Nº Total de Directorios: 3536

Nº Total de Ficheros: 54915

Nº de Ficheros Analizados: 9184

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri May 23 23:01:52 2008

EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri May 23 23:01:55 2008

EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3531

Nº Total de Ficheros: 54841

Nº de Ficheros Analizados: 9146

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat May 24 01:38:43 2008

EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sat May 24 01:38:47 2008

EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2

Nº Total de Ficheros: 139

Nº de Ficheros Analizados: 31

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Sat May 24 01:38:55 2008

EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2

Nº Total de Ficheros: 157

Nº de Ficheros Analizados: 44

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Sat May 24 01:39:01 2008

EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sat May 24 01:39:09 2008

EliBagle v11.41 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 22 de Mayo del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3416

Nº Total de Ficheros: 50408

Nº de Ficheros Analizados: 8808

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat May 24 03:08:02 2008

EliStartPage v16.34 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 23 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Sat May 24 06:06:48 2008

EliStartPage v16.34 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 23 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat May 24 06:07:03 2008

EliStartPage v16.34 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 23 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3334

Nº Total de Ficheros: 50397

Nº de Ficheros Analizados: 22039

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/quote]

[lucl]

Pues peganos el log de hijackthis y veamos que claves tienes, saludos

[yosi666]

Ahi va


[quote]Logfile of HijackThis v1.99.1

Scan saved at 18:26:24, on 25/05/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\1\Escritorio\seg\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.uy

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208292317710

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211622186174

O17 - HKLM\System\CCS\Services\Tcpip\..\{752AB8B9-F98F-4081-92EB-58ACC00CCCD7}: NameServer = 200.40.220.245 200.40.30.245

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe[/quote]

[msc hotline sat]

Me temo que el problema sea la corrupcion de aplicaciones provocada por el Bagle.



Ademas de infectar, corrompe alguna aplicaciones de seguridad, empezando por el antivirus, que debe desinstalarse completamente y volverlo a instalar.



Y otras aplicaciones pueden haber sido tambien dañadas...



Vea de restaurar las que no le funcionen correctamente, y si es necesario, REPARE windows:


[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

y cuentenos el resultado, gracias



saludos



ms, 26-05-2008