PDA

Ver la versión completa : Tengo mi pc infectada !!!



D77
11-10-2008, 13:01
Tengo mi pc infectada , se me cerro por completo el antivirus y no puedo ejecutar el sistema en modo a prueba de fallos ... todo apunta (en primeras instancia a un "Beagle") .

Estuve siguiendo este post en los archivos : http://foro.hackhispano.com/archive/index.php/t-29670.html

Tengo exactamente los mismos sintomas en la pc ...

El infosat.txt me tira lo siguiente :

Sat Oct 11 06:27:38 2008
EliBagle v11.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.83
a "[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

El OTMoveIt2 remueve los archivos pero el sistema en el Reboot los vuelve a su lugar . Tengo tildado Turn Off System Restore pero aun asi no hay manera de moverlos ...

Desconozco como se utiliza el File Assasin o que otra herramienta pueda utilizar para solucionar el problema ...

Agradezco el tiempo que invierten en cada respuesta !

D77

RaidMan
11-10-2008, 14:23
Es el problema de los gusanos, siempre se copian en multitud de lugares para poder dar la lata a gusto.

Probablemente tenga alguna que otra copia que esta comprobando continuamente si esos archivos que "eliminaste" siguen ahi o no. De no existir, los vuelve a crear cada vez que inicias. Asi que tendremos que eliminarlos todos de una sola vez.

El FileAssassin es muy sencillo de utilizar, simplemente le dices el archivo a eliminar, y utilizas "su metodo" de eliminacion, que consiste en matar el proceso que estaba abierto, descargar los modulos y eliminarlo. (Puedes hacer que elimine al reiniciar, pero no te lo recomiendo)


Supongo que no te dejara abrir el SpyBot S&D (si es que lo tienes instalado), asi como tampoco te dejara usar ningun antivirus.

Habra que ir a la fuente:D


Descarga el Hiren's Boot (ultimamente recomiendo mucho este CD de aplicaciones...) la version actual es la 9.6
No se como andara de actualizado en cuanto antivirus, pero vamos a probar para ver si te funciona y te puedes librar de esos archivos rapida y facilmente.
Tiene varias aplicaciones Antivirus que realizan los scanneres sin iniciar el sistema, con lo que el Bagle no habra podido iniciarse.

Tambien, si ves que los antivirus no lo eliminan, puedes probar a borrar los archivos manualmente, asi como restaurar las claves del registro que te dejan iniciar en modo seguro.


Clave: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

Valor: (Default) = DiskDrive


Clave: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

Valor: (Default) = DiskDrive


Clave: HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}

Valor: (Default) = DiskDrive


Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

Valor: (Default) = DiskDrive
Estas son las del Safeboot (no creo que haya ninguna mas)

Puede que haya editado los archivos de MSCONFIG para que no puedas iniciarlo, cambiandoles los nombres o algo por el estilo. Pero eso lo tendremos que ver luego.


Si ves que con el Hiren's Boot no puedes borrarlo, habra que hacerle algun que otro quiebro para burlarle.



Un saludo

PD: Comprueba que tengas el boton Ejecutar, en el menu inicio, asi como si puedes abrir el CMD.exe sin problemas, es decir, si te deja abrirlo y utilizarlo. Comprueba tambien si puedes abrir el editor del registro (Regedit) Si no te deja, tendremos que hacer alguna que otra virgueria

D77
11-10-2008, 20:59
El File Assasin cierra los archivos pero luego no se que hacer ... probe de eliminarlos desde el programa pero no me lo permite .

En cuanto al Hiren´s Boot ya lo pase a CD y bootee el arranque desde ahi , lamentablemente no se utilizarlo en profundidad por ahi vos me podes orientar .

El regedit lo puedo ejecutar pero en el registro no tengo nada como safe boot , supongo que lo debe estar bloqueando el virus o lo elimino en su defecto .

El Cmd lo puedo ejecutar pero no he realizado ningun paso bajo este comando .

D77

D77
11-10-2008, 22:32
Raidman ... creo haber avanzado algo en el tema , con el Hiren´s Boot entre en modo DOS y elimine las entradas que me tiraba en primera instancia el infosat.txt .
Al reiniciar la maquina corri nuevamente el Elibagle y me tiro otros resultados completamente diferentes a los anteriores , te los copio debajo :

Sat Oct 11 16:11:42 2008
EliBagle v11.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\1055843.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\1064828.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\1386968.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\1395125.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\14880328.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\208812.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\212296.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\219656.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\285265.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\293515.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\354640.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\363000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\3760187.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\430453.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\714343.EXE --> Eliminado Bagle

Nº Total de Directorios: 1842
Nº Total de Ficheros: 30523
Nº de Ficheros Analizados: 10753
Nº de Ficheros Infectados: 16
Nº de Ficheros Limpiados: 16

d(O.o)b 16 archivos !

De momento sigo sin antivirus , debo instalarlo nuevamente ? . La navegacion mejoro notablemente y cpu usage que antes se encontraba indefinidamente en 100% se normalizo a lo habitual de 5 a 7% ...

Con esto avanzamos bastante creo ... pero quiero asegurarme de quitar el gusano en su totalidad , como puedo asegurarme una correcta desinfeccion? .

Gracias !!!

D77

D77
11-10-2008, 23:38
Resumiendo ... volvi a instalar el nod32 y en este momento se encuentra actualizando , el windows update ya funciona y la pc volvio a la normalidad .

Despues de la tormenta siempre sale el sol :D

Gracias por tu ayuda Raidman !!!

PD : De todos modos voy a esperar tu respuesta por lo de la correcta desinfeccion del ordenador .

Gracias Again !!!

D77

RaidMan
12-10-2008, 13:57
Gracias por tu ayuda Raidman !!!


Gracias Again !!!

D77

De nada, para eso estamos:)


Parece que si que lo has conseguido eliminar.

El NOD es un excelente antivirus, que por el momento, a mi no me ha fallado.
Te sugiero tambien que tengas instalado un Firewall (Kerio, Comodo Firewall...) y algun anti- Spy/Adware (como el SpyBot Search & Destroy)

Lo has conseguido eliminar porque el Hiren's, al ser un LiveCD, no hace uso del sistema, y el Bagle, por lo tanto, no esta iniciado y no puede protegerse.


Para estar seguros al 100% escanea con el NOD32 en forma "Analis Profundo" para ver si quedo algun resto de el Gusano.

Tambien te recomiendo algun antivirus online, como el Ewido (www.ewido.com/onlinescan) (que siempre son mas objetivos que los instalados, que pueden haber sido modificados para que no realicen adecuadamente los escaneres)


Un saludo
PD: Dejare el tema abierto durante unos dias mas, por si el NOD te detecta algo relacionado con el Bagle.

D77
13-10-2008, 10:41
Buen dia Raidman ...

Ejecute el NOD32 y me encontro actividad en una carpeta en particular ... por lo cual hize un scan especifico de dicha carpeta para copiarte (hice en particular el scan de esa carpeta para copiarte un log mas corto que el de toda la pc) los archivos no los pudo desinfectar por lo cual los elimino . Te paso el resultado del Scan para que me des tu opinion al respecto ...

Comienzo: 10/13/2008 4:25:43 AM
Registro de sucesos
NOD32 Scanner versión 3516 (20081012) NT
- Está correcto en memoria operativa

Fecha: 13.10.2008 hora: 04:28:21
La Tecnología Anti-Stealth está activada.
Discos, carpetas y archivos analizados: C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\50S5L7B0\b64[2].jpg - Win32/Bagle.PF (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\50S5L7B0\b64_3[1].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\50S5L7B0\b64_3[2].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\CUU10QKH\b64[1].jpg - Win32/Bagle.PF (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\CUU10QKH\b64_1[1].jpg - Win32/Bagle.PO (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\CUU10QKH\b64_2[1].jpg - Win32/Bagle.OD (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\D33GC39E\b64[1].jpg - Win32/Bagle.PF (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\D33GC39E\b64[2].jpg - Win32/Bagle.PF (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\D33GC39E\b64_3[1].jpg - Win32/Bagle.PJ (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\FNXTGNQS\b64_2[1].jpg - Win32/Bagle.OD (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\FNXTGNQS\b64_3[1].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\FNXTGNQS\b64_3[2].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64[1].jpg - Win32/Bagle.PF (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64_2[1].jpg - Win32/Bagle.OD (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64_3[1].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64_3[2].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64_3[3].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64_3[4].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64_3[5].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\VQJMT2JY\b64[1].jpg - Win32/Bagle.PF (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\WVW9GWR1\b64_3[1].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
Cantidad de archivos analizados: 1028
Cantidad de amenazas detectadas: 21
Cantidad de archivos desinfectados: 21
Hora de finalización: 04:28:51 . Tiempo total de análisis: 30 seg (00:00:30)

En cuanto a antispy utilizo el Ad-aware SE ... si conoces alguno mejor para recomendarme te lo agradeceria ya que en este campo la verdad no estoy actualizado y desconozco cual sea mejor o peor .

PD : en el transcurso del dia no estuve en casa por lo cual aun no pude correr el Ewido , lo voy a dejar corriendo y luego te muestro el log .

Gracias por tu tiempo Raidman !!!

D77

RaidMan
13-10-2008, 16:12
Vale, te dare algunas recomendaciones:

Deja de usar IExplore para navegar por internet, es una porqueria, y como puedes ver, su carpeta de archivos temporales es un criadero de Bagles:D

Usa Opera, o Firefox (Yo te recomiendo Opera (http://www.opera.com/download/), y su version 9.6 acaba de salir prometiendo mucho y cumpliendo bastante bien:))

En cuanto al Anti-Spy/Adware, te recomiendo SpyBot Search & Destroy (http://fileforum.betanews.com/sendfile/1043809773/1/1222627105.f5ab6f076c2b8972b2006fbfdcad9029180925b 4/spybotsd160.exe). Una maravilla y completamente gratuito.


Pega el Log del Ewido cuando puedas.


Un saludo y de nada, para eso estamos.