Ayuda tengo el virus I-Worm/Bagle (CERRADO DE NUEVO))

[sanma]

Ya que es mi primer mensaje quisiera saludaros a todos los que participais en este foro y espero que me podais ayudar en el problema que tengo que ya me empieza a desesperarme.



El ordenador me va muy lento, lo primero que hice fue ver si algun proceso se quedaba al 100% sin motivo.

Mi sopresa fue al abrir el Administrador de tareas que el proceso culpable era el mismo taskmgr.exe. Probe a cerrarlo y aun asi el ordenador sigue lentisimo.



A parte de todo esto cada poco me sale un aviso del Antivirus (AVG 8.0) que tengo un Troyano ( Generic c.AA) y tambien me salta un aviso de virus el I-Worm/Bagle. A todo esto le doy siempre para Virus Vault. Pero nada sigue sin solucionarse nada.



Lo siguiente que hago es intentar restaurar, no me deja restauro a cualquier punto y me dice que no ha sido posible.

Por lo que empiezo a buscar otras aplicaciones que me puedan ayudar, encuentro el vcleaner que me recomiendan ejecutarlo en modo seguro cosa que hago pero despues de elegir el modo seguro se me reinicia otra vez para un arranque normal de windows.

Asi que ya tirandome de los pelos no se que hacer. Por favor que alguien me ayude porque es que no puedo funcionar con el ordenador a causa de todo esto. :cry: :cry: :cry: :cry:

[msc hotline sat]

Pues empieza por eliminar el Bagle, para lo que puedes probar el ELIBAGLA:




[quote="para descargar el ELIBAGLA, msc"]


http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

y por si fuera de los resistentes, recuerda:



https://foros.zonavirus.com/nuevas-variantes-de-bagle-mas-resistentes-metodo-a-seguir-t23824.html



y tras eliminarlo totalmente, si persisten anomalias o detectas otros, puedes lanzar este AV ONLINE y postearnos el informe resultante:





[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)



saludos



ms, 26 de Agosto de 2008

[sanma]

Voy a ponerme a ello. Ya te contare que tal ha ido. Muchas gracias.

[msc hotline sat]

ok.



ms.

[sanma]

Despues de ejecutar el ELIBAGLA el contenido del archivo Infosat.txt es el siguiente:





Tue Aug 26 21:41:16 2008

EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.



Tue Aug 26 21:42:08 2008

EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.







Decirme si es normal porque lo ejecuto y pone procesando 116 ficheros viricos y luego me salta el avg con

el virus en el archivo c:\windows\system32\drivers\srosa.sys y tambien sale un mensaje con que envie una muestra a una direccion de correo electronico.

Voy a seguir con los pasos.

[sanma]

[quote="msc hotline sat"]por si fuera de los resistentes, recuerda:



nuevas-variantes-de-bagle-mas-resistentes-metodo-a-seguir-t23824.html[/quote]

msc no entiendo muy bien lo que tengo que hacer en este paso.

te resumo los "avances" que he hecho:

Ejecute ELIBAGLA como dije antes y nada, reinicie y antes de cargarme la sesion completamente, me salio el ELIBAGLA y me detecto el gusano y me decia que reiniciara para completar el scaneo o algo asi. Antes de eso explore con el ELIBAGLA las unidades del pc.



Al parecer todo iba bien, hasta que he desinstalado y vuelto a instalar el firewall (kerio) que ha vuelto ha salir de nuevo el virus bagle.



Aunque sale de nuevo el virus el pc va mejor. Voy a pasarle el AV online.

[msc hotline sat]

Debes desactivar e AVG u otros antivirus al pasar el ELIBAGLA !!!, sino impedirán acceder a los ficheros infectados.



Y lo que se indica en el link al respecto de los "resistentes" es porque algunas variantes se resisten, al denegar el acceso a los ficheros infectados aun tras arrancar de nuevo, y debe hacerse dicho reinicio en modo seguro, tras haber pasado una primera vez el ELIBAGLA para restaurar la clave del SAFEBOOT.



Y no dejes dicho virus en el ordenador !!! puede estar propagando mails infectados, aparte de incordiar en tu sistema. Sigue las indicaciones !!!



saludos



ms, 27 de Agosto de 2008

[sanma]

Gracias por todo, es que no era capaz a reiniciar en modo seguro. Sigo con los pasos.

[sanma]

Ya quite el virus msc, gracias por todo , dejo aqui el archivo infosat cuando encontro el virus:



----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\drivers\downld\1489906.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP317\A0066835.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP321\A0066902.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP322\A0066939.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP323\A0066956.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP324\A0066982.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP324\A0067004.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP325\A0067017.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP325\A0067042.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP325\A0067059.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP325\A0067200.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP326\A0069234.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP326\A0069259.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP327\A0069296.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP328\A0069315.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP329\A0071381.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{B857AAAE-09F6-4A6E-A5FC-E6EC9FA20561}\RP329\A0071383.EXE --> Eliminado Bagle



Nº Total de Directorios: 7493

Nº Total de Ficheros: 97182

Nº de Ficheros Analizados: 14198

Nº de Ficheros Infectados: 17

Nº de Ficheros Limpiados: 17



Wed Aug 27 16:51:54 2008

EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

----------------------------------------------

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 27 de Agosto de 2008

[msc hotline sat]

Reabierto a peticion del autor del Tema



ms.

[sanma]

Esto es del escaneo del Kaspersky online



Bombre del objeto infectado Nombre del virus Última acción

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\NetLimit.evt Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\drivers\atapi.sys Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\drivers\mdelk.exe Infectados: [b]Trojan-Downloader.Win32.Bagle.zb [/b]saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt Object is locked saltado

C:\WINDOWS\Temp\sqlite_GxPQaJqLQIXynVD Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgui.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgrs.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgcore.log Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgwd.log Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado

C:\Documents and Settings\MYS\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Historial\History.IE5\MSHist012008082720080828\index.dat Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Archivos temporales de Internet\Content.IE5\KKW79DDT\b64_3[1].jpg Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Archivos temporales de Internet\Content.IE5\KKW79DDT\b64[1].jpg Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Archivos temporales de Internet\Content.IE5\KKW79DDT\b64_1[1].jpg Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Archivos temporales de Internet\Content.IE5\KKW79DDT\b64_3[2].jpg Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Archivos temporales de Internet\Content.IE5\06TQT0DQ\b64_3[1].jpg Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Archivos temporales de Internet\Content.IE5\06TQT0DQ\b64[1].jpg Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Archivos temporales de Internet\Content.IE5\X61X4NG9\b64[1].jpg Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Archivos temporales de Internet\Content.IE5\X61X4NG9\b64_1[1].jpg Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Archivos temporales de Internet\Content.IE5\X61X4NG9\b64_1[2].jpg Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Archivos temporales de Internet\Content.IE5\99EMWE4X\b64[1].jpg Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Archivos temporales de Internet\Content.IE5\99EMWE4X\b64_1[1].jpg Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Datos de programa\Acer Arcade\Trace.log Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\Cache\_CACHE_MAP_ Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\Cache\_CACHE_001_ Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\Cache\_CACHE_002_ Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\Cache\_CACHE_003_ Object is locked saltado

C:\Documents and Settings\MYS\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\urlclassifier3.sqlite Object is locked saltado

C:\Documents and Settings\MYS\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\MYS\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\parent.lock Object is locked saltado

C:\Documents and Settings\MYS\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\downloads.sqlite Object is locked saltado

C:\Documents and Settings\MYS\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\cert8.db Object is locked saltado

C:\Documents and Settings\MYS\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\key3.db Object is locked saltado

C:\Documents and Settings\MYS\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\places.sqlite-journal Object is locked saltado

C:\Documents and Settings\MYS\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\permissions.sqlite Object is locked saltado

C:\Documents and Settings\MYS\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\places.sqlite Object is locked saltado

C:\Documents and Settings\MYS\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\cookies.sqlite Object is locked saltado

C:\Documents and Settings\MYS\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\formhistory.sqlite Object is locked saltado

C:\Documents and Settings\MYS\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\search.sqlite Object is locked saltado

C:\Documents and Settings\MYS\Datos de programa\Mozilla\Firefox\Profiles\j6ufr67k.default\content-prefs.sqlite Object

[sanma]

Hice de nuevo todos los pasos y ya no me salta el virus, pero ha costado. Muchas gracias smc. Puedes cerrarlo cuando quieras. Perdon por las molestias.

[msc hotline sat]

Bueno, a veces se resiste un poco ... :lol:



saludos



y cierro de nuevo el Tema !



ms, 28 de Agosto de 2008