Resultados 1 al 8 de 8

Tema: Tengo mi pc infectada !!!

  1. #1 Tengo mi pc infectada !!! 
    Iniciado
    Fecha de ingreso
    Oct 2008
    Mensajes
    5
    Descargas
    0
    Uploads
    0
    Tengo mi pc infectada , se me cerro por completo el antivirus y no puedo ejecutar el sistema en modo a prueba de fallos ... todo apunta (en primeras instancia a un "Beagle") .

    Estuve siguiendo este post en los archivos : http://foro.hackhispano.com/archive/...p/t-29670.html

    Tengo exactamente los mismos sintomas en la pc ...

    El infosat.txt me tira lo siguiente :

    Sat Oct 11 06:27:38 2008
    EliBagle v11.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.83
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
    Restaurada Clave: "SafeBoot\Minimal y Network"
    Reinicie para Completar la Limpieza.

    El OTMoveIt2 remueve los archivos pero el sistema en el Reboot los vuelve a su lugar . Tengo tildado Turn Off System Restore pero aun asi no hay manera de moverlos ...

    Desconozco como se utiliza el File Assasin o que otra herramienta pueda utilizar para solucionar el problema ...

    Agradezco el tiempo que invierten en cada respuesta !

    D77
    Citar  
     

  2. #2  
    Moderador HH
    Fecha de ingreso
    Nov 2006
    Mensajes
    1.516
    Descargas
    7
    Uploads
    0
    Es el problema de los gusanos, siempre se copian en multitud de lugares para poder dar la lata a gusto.

    Probablemente tenga alguna que otra copia que esta comprobando continuamente si esos archivos que "eliminaste" siguen ahi o no. De no existir, los vuelve a crear cada vez que inicias. Asi que tendremos que eliminarlos todos de una sola vez.

    El FileAssassin es muy sencillo de utilizar, simplemente le dices el archivo a eliminar, y utilizas "su metodo" de eliminacion, que consiste en matar el proceso que estaba abierto, descargar los modulos y eliminarlo. (Puedes hacer que elimine al reiniciar, pero no te lo recomiendo)


    Supongo que no te dejara abrir el SpyBot S&D (si es que lo tienes instalado), asi como tampoco te dejara usar ningun antivirus.

    Habra que ir a la fuente


    Descarga el Hiren's Boot (ultimamente recomiendo mucho este CD de aplicaciones...) la version actual es la 9.6
    No se como andara de actualizado en cuanto antivirus, pero vamos a probar para ver si te funciona y te puedes librar de esos archivos rapida y facilmente.
    Tiene varias aplicaciones Antivirus que realizan los scanneres sin iniciar el sistema, con lo que el Bagle no habra podido iniciarse.

    Tambien, si ves que los antivirus no lo eliminan, puedes probar a borrar los archivos manualmente, asi como restaurar las claves del registro que te dejan iniciar en modo seguro.

    Clave: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

    Valor: (Default) = DiskDrive


    Clave: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

    Valor: (Default) = DiskDrive


    Clave: HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}

    Valor: (Default) = DiskDrive


    Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

    Valor: (Default) = DiskDrive
    Estas son las del Safeboot (no creo que haya ninguna mas)

    Puede que haya editado los archivos de MSCONFIG para que no puedas iniciarlo, cambiandoles los nombres o algo por el estilo. Pero eso lo tendremos que ver luego.


    Si ves que con el Hiren's Boot no puedes borrarlo, habra que hacerle algun que otro quiebro para burlarle.



    Un saludo

    PD: Comprueba que tengas el boton Ejecutar, en el menu inicio, asi como si puedes abrir el CMD.exe sin problemas, es decir, si te deja abrirlo y utilizarlo. Comprueba tambien si puedes abrir el editor del registro (Regedit) Si no te deja, tendremos que hacer alguna que otra virgueria
    Última edición por RaidMan; 11-10-2008 a las 13:27
    Mess with the best, die like the rest.


    Hazle a los demas... antes de que te hagan a ti.
    Citar  
     

  3. #3  
    Iniciado
    Fecha de ingreso
    Oct 2008
    Mensajes
    5
    Descargas
    0
    Uploads
    0
    El File Assasin cierra los archivos pero luego no se que hacer ... probe de eliminarlos desde el programa pero no me lo permite .

    En cuanto al Hiren´s Boot ya lo pase a CD y bootee el arranque desde ahi , lamentablemente no se utilizarlo en profundidad por ahi vos me podes orientar .

    El regedit lo puedo ejecutar pero en el registro no tengo nada como safe boot , supongo que lo debe estar bloqueando el virus o lo elimino en su defecto .

    El Cmd lo puedo ejecutar pero no he realizado ningun paso bajo este comando .

    D77
    Citar  
     

  4. #4  
    Iniciado
    Fecha de ingreso
    Oct 2008
    Mensajes
    5
    Descargas
    0
    Uploads
    0
    Raidman ... creo haber avanzado algo en el tema , con el Hiren´s Boot entre en modo DOS y elimine las entradas que me tiraba en primera instancia el infosat.txt .
    Al reiniciar la maquina corri nuevamente el Elibagle y me tiro otros resultados completamente diferentes a los anteriores , te los copio debajo :

    Sat Oct 11 16:11:42 2008
    EliBagle v11.83 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\1055843.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\1064828.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\1386968.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\1395125.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\14880328.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\208812.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\212296.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\219656.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\285265.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\293515.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\354640.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\363000.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\3760187.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\430453.EXE --> Eliminado Bagle
    C:\WINDOWS\system32\drivers\downld\714343.EXE --> Eliminado Bagle

    Nº Total de Directorios: 1842
    Nº Total de Ficheros: 30523
    Nº de Ficheros Analizados: 10753
    Nº de Ficheros Infectados: 16
    Nº de Ficheros Limpiados: 16

    d(O.o)b 16 archivos !

    De momento sigo sin antivirus , debo instalarlo nuevamente ? . La navegacion mejoro notablemente y cpu usage que antes se encontraba indefinidamente en 100% se normalizo a lo habitual de 5 a 7% ...

    Con esto avanzamos bastante creo ... pero quiero asegurarme de quitar el gusano en su totalidad , como puedo asegurarme una correcta desinfeccion? .

    Gracias !!!

    D77
    Citar  
     

  5. #5  
    Iniciado
    Fecha de ingreso
    Oct 2008
    Mensajes
    5
    Descargas
    0
    Uploads
    0
    Resumiendo ... volvi a instalar el nod32 y en este momento se encuentra actualizando , el windows update ya funciona y la pc volvio a la normalidad .

    Despues de la tormenta siempre sale el sol

    Gracias por tu ayuda Raidman !!!

    PD : De todos modos voy a esperar tu respuesta por lo de la correcta desinfeccion del ordenador .

    Gracias Again !!!

    D77
    Citar  
     

  6. #6  
    Moderador HH
    Fecha de ingreso
    Nov 2006
    Mensajes
    1.516
    Descargas
    7
    Uploads
    0
    Cita Iniciado por D77 Ver mensaje

    Gracias por tu ayuda Raidman !!!


    Gracias Again !!!

    D77
    De nada, para eso estamos


    Parece que si que lo has conseguido eliminar.

    El NOD es un excelente antivirus, que por el momento, a mi no me ha fallado.
    Te sugiero tambien que tengas instalado un Firewall (Kerio, Comodo Firewall...) y algun anti- Spy/Adware (como el SpyBot Search & Destroy)

    Lo has conseguido eliminar porque el Hiren's, al ser un LiveCD, no hace uso del sistema, y el Bagle, por lo tanto, no esta iniciado y no puede protegerse.


    Para estar seguros al 100% escanea con el NOD32 en forma "Analis Profundo" para ver si quedo algun resto de el Gusano.

    Tambien te recomiendo algun antivirus online, como el Ewido (que siempre son mas objetivos que los instalados, que pueden haber sido modificados para que no realicen adecuadamente los escaneres)


    Un saludo
    PD: Dejare el tema abierto durante unos dias mas, por si el NOD te detecta algo relacionado con el Bagle.
    Mess with the best, die like the rest.


    Hazle a los demas... antes de que te hagan a ti.
    Citar  
     

  7. #7  
    Iniciado
    Fecha de ingreso
    Oct 2008
    Mensajes
    5
    Descargas
    0
    Uploads
    0
    Buen dia Raidman ...

    Ejecute el NOD32 y me encontro actividad en una carpeta en particular ... por lo cual hize un scan especifico de dicha carpeta para copiarte (hice en particular el scan de esa carpeta para copiarte un log mas corto que el de toda la pc) los archivos no los pudo desinfectar por lo cual los elimino . Te paso el resultado del Scan para que me des tu opinion al respecto ...

    Comienzo: 10/13/2008 4:25:43 AM
    Registro de sucesos
    NOD32 Scanner versión 3516 (20081012) NT
    - Está correcto en memoria operativa

    Fecha: 13.10.2008 hora: 04:28:21
    La Tecnología Anti-Stealth está activada.
    Discos, carpetas y archivos analizados: C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\50S5L7B0\b64[2].jpg - Win32/Bagle.PF (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\50S5L7B0\b64_3[1].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\50S5L7B0\b64_3[2].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\CUU10QKH\b64[1].jpg - Win32/Bagle.PF (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\CUU10QKH\b64_1[1].jpg - Win32/Bagle.PO (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\CUU10QKH\b64_2[1].jpg - Win32/Bagle.OD (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\D33GC39E\b64[1].jpg - Win32/Bagle.PF (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\D33GC39E\b64[2].jpg - Win32/Bagle.PF (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\D33GC39E\b64_3[1].jpg - Win32/Bagle.PJ (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\FNXTGNQS\b64_2[1].jpg - Win32/Bagle.OD (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\FNXTGNQS\b64_3[1].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\FNXTGNQS\b64_3[2].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64[1].jpg - Win32/Bagle.PF (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64_2[1].jpg - Win32/Bagle.OD (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64_3[1].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64_3[2].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64_3[3].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64_3[4].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\LV8RDB6J\b64_3[5].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\VQJMT2JY\b64[1].jpg - Win32/Bagle.PF (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    C:\Documents and Settings\- Doc -\Local Settings\Temporary Internet Files\Content.IE5\WVW9GWR1\b64_3[1].jpg - Win32/Bagle.PV (Gusano de Internet) - Imposible desinfectar - Puesto en cuarentena - Eliminado
    Cantidad de archivos analizados: 1028
    Cantidad de amenazas detectadas: 21
    Cantidad de archivos desinfectados: 21
    Hora de finalización: 04:28:51 . Tiempo total de análisis: 30 seg (00:00:30)

    En cuanto a antispy utilizo el Ad-aware SE ... si conoces alguno mejor para recomendarme te lo agradeceria ya que en este campo la verdad no estoy actualizado y desconozco cual sea mejor o peor .

    PD : en el transcurso del dia no estuve en casa por lo cual aun no pude correr el Ewido , lo voy a dejar corriendo y luego te muestro el log .

    Gracias por tu tiempo Raidman !!!

    D77
    Citar  
     

  8. #8  
    Moderador HH
    Fecha de ingreso
    Nov 2006
    Mensajes
    1.516
    Descargas
    7
    Uploads
    0
    Vale, te dare algunas recomendaciones:

    Deja de usar IExplore para navegar por internet, es una porqueria, y como puedes ver, su carpeta de archivos temporales es un criadero de Bagles

    Usa Opera, o Firefox (Yo te recomiendo Opera, y su version 9.6 acaba de salir prometiendo mucho y cumpliendo bastante bien)

    En cuanto al Anti-Spy/Adware, te recomiendo SpyBot Search & Destroy. Una maravilla y completamente gratuito.


    Pega el Log del Ewido cuando puedas.


    Un saludo y de nada, para eso estamos.
    Mess with the best, die like the rest.


    Hazle a los demas... antes de que te hagan a ti.
    Citar  
     

Temas similares

  1. problema: tengo ip pero no tengo internet
    Por fideos en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 0
    Último mensaje: 29-09-2009, 13:02
  2. Respuestas: 4
    Último mensaje: 09-04-2008, 21:23
  3. Respuestas: 4
    Último mensaje: 17-09-2006, 02:10
  4. tengo un xp pirata y tengo problema!!
    Por the_piyoyo en el foro GENERAL
    Respuestas: 2
    Último mensaje: 23-08-2006, 22:47
  5. Tengo Internet Pero No Tengo Red Y Eso?
    Por thesirpdk en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 1
    Último mensaje: 13-06-2006, 12:53

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •