Virus Beagle/Bagle, cuidado con él, leed esto y tened precaución

  • 1
rafamontcada
#1 por rafamontcada el 10/08/2008
Virus Beagle/Bagle
Atención:
El virus se coge al bajar cracks para programas en emule
, y se te va derecho a la raiz del sistema, y aplicaciones win32, no te deja abrir el PC en modo seguro, te quita los antivirus y no te deja instalar nada, grabar un CD o navegar o abrir carpetas es cada vez más lento, pero lento que pone a prueba cualquier paciencia. Así que con esa paciencia encontré la página ideal, después de probar mil cosas, tienes que desinstalar todos los antivirus y antiespias y seguir los pasos e instalar lo que en esa página pone.
1 Descargas ELIBAGLA, y te limpia un poco
2 descargas un programa que entras en ms2 y limpias manualmente los restos (gmer).
Yo con esto ya tuve suerte y lo limpié todo, (entrando en la página no os podeis perder, por si necesitais más pasos)
Luego ya enseguida instalas un antivirus y lo acabas de rematar, un antiespia, he bajado el Ccleaner, para limpiar todos los residentes, y ya parece que esto va como siempre (incluso mejor)
Yo tenía el Mcafee (lo pago mes a mes en telefónica)y con ese se me coló, ahora lo he limpiado (no podeis imaginar la cantidad de virus, troyanos, espias y demás que se te meten), he instalado el AVG, que por lo pronto tengo un mes, y parece muy bueno. En fin, más o menos que es eso, que tengais mucho cuidado al bajar cosas de programas P2P, emules, Ares, etc,...y pasad primero el antivirus y si veis algo raro, no lo ejecuteis por nada del mundo.
Este virus está de moda y además, el que te infecte tiene la puerta abierta para controlar tu PC y tus movimientos.
Así que cuidado y muchas gracias.
Aquí el enlace para solucionar el problema

¿Cómo eliminar el virus Beagle/Bagle? - La solución
Subir
Leo Cerdan
#2 por Leo Cerdan el 10/08/2008
Muchas gracias compañero. Así que era este virus el que te estaba volviendo loco
Subir
toni
#3 por toni el 10/08/2008
+1 por la info!! : )

Fuente:
¿Cómo eliminar el virus Beagle/Bagle? - La solución

Alguien escribió:
¿Cómo eliminar el virus Beagle/Bagle?

El malware Bagle es en realidad un gusano informático que se propaga principalmente en los programas P2P y a través de cracks falsos (programas piratas!), al igual que por email.
El internauta creyendo que está descargando un crack para un programa, cuando hace una búsqueda con un programa P2P, instala el mismo al gusano en su PC ya que el archivo .exe contenido en el archivo es en realidad el gusano Bagle!
Los nombres de los programas crackeados son diversos y comprenden una gama bastante amplia de tipos de programas. Este gusano es por lo general muy difícil de eliminar!

Síntomas debidos a la infección
Método de desinfección
Reparar el acceso al modo seguro
1er Método: ELIBAGLA
2do Método: Gmer
3er Método: Combofix
4to Método: Malwarebyte's
Trucos Prácticos!
Renombrar ELIBAGLA
En Linea de comando



Síntomas debidos a la infección

Cuando éste es ejecutado, el gusano muestra una ventana que te pedirá que selecciones un archivo para ser crackeado. En realidad es un señuelo ya que no crakeará nada!



Mensaje que se obtiene después de la búsqueda:



Lo primero que hace es infectar un archivo sano en el arranque, después de una lectura del registro, elimina la clave safeboot que permite el inicio en modo seguro, también neutraliza el funcionamiento del antivirus y el cortafuegos, e impide que se reinstalen. Te darás cuenta rápidamente que una gran parte de los programas de seguridad no podrán ejecutarse y aparecerá un mensaje de error: “aplicación win32 no válida...”

Atención Por ningún motivo intentes reiniciar en modo seguro a través del comando msconfig so pena de ver a Windows reiniciado indefinidamente en bucle!
Método de desinfección

Existes varias soluciones a nuestra disposición
Reparar el acceso al modo seguro

Puedes comenzar reparando el acceso al modo seguro, para ello debes descargar:
la aplicación siguiente: http://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe
o el archivo *.reg de acuerdo a la versión de Windows:
Reparar modo seguro

1er Método: ELIBAGLA
Descarga ELIBAGLA (by SATINFO) de la parte de abajo de esta página: Descargar ELIBAGLA 11.66
Haz clic en el botón Descargar Elibagla y ponlo en tu escritorio.
Haz doble clic encima para abrirlo
Verifica que en el menú desplegable Unidad, se encuentra C: (o la partición que contiene el sistema operativo)
Verifica también que la opción Eliminar Ficheros Automaticamente, en la parte baja de la ventana, esté marcada.
Haz clic en el botón Explorar para lanzar el análisis, al final del scan, se generará un informe llamado infosat.txt que será guardado en la raíz C:infosat.txt




Ejemplo de un informe conteniendo archivos infectados:

Thu Feb 28 21:49:09 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:WINDOWSSYSTEM32WINTEMS.EXE --> Bagle Acceso Denegado.
C:WINDOWSSYSTEM32BAN_LIST.TXT --> Eliminado Bagle
C:WINDOWSSYSTEM32DRIVERSSROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:WINDOWSSYSTEM32DRIVERSHLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBootMinimal y Network"
Reinicie para Completar la Limpieza.

Thu Feb 28 21:49:48 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:
C:Program FilesATI TechnologiesATI Control PanelATIPTAXX.EXE -->Eliminado
Bagle.dldr
C:WINDOWSsystem32MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para
completar la Limpieza)
C:WINDOWSsystem32WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para
completar la Limpieza)

Nº Total de Directorios: 7505
Nº Total de Ficheros: 82386
Nº de Ficheros Analizados: 12450
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 3
Uso del informe:
la mención: Eliminado Bagle significa que el componente del gusano ha sido eliminado.
la mención: Bagle Acceso Denegado siginifica que el acceso a este archivo ha sido denegado, por lo tanto no ha sido eliminado
la mención: Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) significa que se necesita volver a pasar la aplicación para completar la limpieza!
Elibagla es capaz de reparar la clave safeboot eliminada por Bagle, en ese caso, la siguiente mención aparece en el informe: Restaurada Clave: "SafeBootMinimal y Network"


Observación: se debe pasar varias veces Elibagla en modo normal y en modo seguro si es posible para poder eliminar la mayor cantidad de archivos infectados.

En nuestro ejemplo, Elibagla no ha eliminado de una sola vez la infección, vamos a ver en lo que sigue cómo otras herramientas pueden ser utilizadas para completar la eliminación del gusano Bagle.
2do Método: Gmer
Descargar Gmer (by Przemyslaw Gmerek): http://www.gmer.net/gmer.zip


Descomprime el archivo y ponlo en el escritorio, haz doble clic en gmer.exe
IMOPORTANTE: si una alerta de antivirus aparece para el archivo gmer.sys o gmer.exe, igual ejecútalo!
Haz clic en la pestaña rootkit, asegúrate de que las casillas: Services, Registry y Files estén marcadas.
Haz clic en scan, una vez terminado, ve a:
Inicio
Ejecutar y escribe el comando cmd luego Aceptar
En la ventana negra que se abre, copia cada una de las líneas, previamente imprimidas, una por una poniendo mucha atención (sintaxis, espacio entre palabras...), y valida cada una de las líneas con la tecla Enter.
En este caso, el script ha sido elaborado en función del informe de Elibagla precedente:



gmer -killall
gmer -del reg "HKLMSYSTEMCurrentControlSetServicesSROSA"
gmer -del reg "HKLMSYSTEMControlSet001ServicesSROSA"
gmer -del reg "HKLMSYSTEMControlSet002ServicesSROSA"
gmer -del service SROSA
gmer -del file "C:WINDOWSSYSTEM32DRIVERSSROSA.SYS"
gmer -del file "C:WINDOWSSYSTEM32WINTEMS.EXE"
gmer -del file "C:WINDOWSSYSTEM32BAN_LIST.TXT"
gmer -del file "C:WINDOWSsystem32MDELK.EXE"
gmer -del file "C:WINDOWSSYSTEM32DRIVERSHLDRRR.EXE"
gmer –reboot
Si al final del proceso, el PC no reinicia sólo, haz un reset para forzar el reinicio.


Observación: este método supone que sabemos hacer scripts con gmer!
3er Método: Combofix
Descargar Combofix (by Subs) desde esta página:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Guárdalo en el escritorio
Desconéctate de Internet y cierra todas las aplicaciones y programas
Haz doble clic en combo-fix.exe
Presiona la tecla Y (Yes) para iniciar el scan
El informe será creado en la raíz: C:Combofix.txt




Observación: combo se encarga de eliminar archivos infectados ligados a bagle. Es imprescindible que descargues combo desde el enlace dado líneas arriba (versión renombrada) o renómbralo tu mismo combo (clic derecho en el archivo < renombrar), si no Combo será totalmente ineficaz frente a Bagle!
4to Método: Malwarebyte's

Esta muy buena herramienta tiene la particularidad de detectar la totalidad de la infección Bagle, sin embargo sólo es eficaz si utilizas Eligagla antes para neutralizar el archivo infectado identificado en 04 (hijackthis) o si esta 04 ya ha sido eliminada antes.

Descargar MalwareByte's Anti-Malware:
Instala el programa en el escritorio:
Si falta el archivo COMCTL32.OCX, puedes descargarlo de aquí
Haz las actualizaciones (haz clic en Actualizar luego Buscar actualizaciones)
Inicia en modo seguro
Ejecuta MalwareByte's Anti-Malware, haz clic en “Realizar un examen completo” luego Examinar y selecciona todos los discos duros.
Una vez terminado el scan, haz clic en Eliminar (si un mensaje te pide reiniciar el PC, acepta!)
Un informe será generado, guárdalo en un lugar donde lo puedas encontrar

Trucos Prácticos!

Renombrar ELIBAGLA
Aquí un truco capaz de hacer a Elibagla más eficaz frente a las variantes de Bagle!
Sólo hay que renombrarlo con el mismo nombre de uno de los archivos que hacen parte de la infección: aquí mdelk.exe y el rootkit será incapaz de diferenciar el archivo de la infección que lleva el mismo nombre y que le autoriza un campo de acción mucho más importante.
Elibagla renombrado de este modo será capaz de neutralizar, en una sola pasada, totalmente la infección. Luego sólo hay que reiniciar el PC y hacer un segundo scan para eliminar el resto de la infección.
Hay que tener en cuenta que este truco funciona únicamente si el exe de Elibagla es renombrado correctamente mdelk.exe!

En Linea de comando
Este truco está destinado principalmente a los usuarios conocedores, así como a las personas que ayudan en el foro virus/seguridad y que les será muy útil.
El falso crack que se copia en lugar de un archivo sano tiene la particularidad de utilizar un protector de archivo: Themida.
Este comando es capaz de revelar la presencia de archivos infectados ligados a Bagle y camuflados por este protector de archivo, abre el prompt y escribe la línea siguiente:
findstr /S /I /M /L "Themida" C:*.exe>>"%userprofile%escritorioStartvir.txt"
El archivo Startvir.txt en el escritorio listará los archivos sospechosos encontrados, sólo tendrás que eliminar los archivos después de haber interpretado los resultados.


Existen muchos otros métodos para eliminar este gusano!

Si tienes problemas para eliminar a este gusano, el que agregado a otras infecciones puede ser muy difícil de desalojar, no dudes en poner un mensaje en el foro virus/seguridad explicando brevemente las operaciones efectuadas y los problemas que encontraste.
Subir
rafamontcada
#4 por rafamontcada el 10/08/2008
Cojonudo toni, no se me ocurrió ponerlo así.
Este era Pochichi. gracias a los dos por vuestra ayuda.
Tened cuidado, que es muy reciente y muy chungo, si teneis datos de mucho valor. :saludo:
Subir
Manuel_Baez
#5 por Manuel_Baez el 10/08/2008
Yo lo he tenido, era el virus que me ha impedido grabar durante un mes (no quería formatear).
Lo he limpiado con el panda online, y con un antyspyware, además del Reg Seeker y el CCleaner.
Después he instalado el AVAST (antivirus gratuito) y me ha detectado los restos y el archivo infectado en el disco duro externo (Mcfee y Norton no detectan bien el Beagle)

Hay algunos archivos en Taringa que tienen este virus, aviso, lo sé por experiencia propia.
Subir
kensuke
#6 por kensuke el 10/08/2008
Cuando cojes un virus de esa calaña, lo más seguro es un buen formateo y aprender para la próxima

Suerte!!
Subir
TDL
#7 por TDL el 10/08/2008
Yo, personalmente y para malwares binarios (.exe, .scr, etc.), prefiero NOD32 por su ratio de detección de amenazas desconocidas. Pensad que, de Beagle, si no hay 40 versiones no hay ninguna :S.

Saludos!
Subir
rafamontcada
#8 por rafamontcada el 10/08/2008
Belial, que tal es el Avast? Lo recomiendas?
Yo el Mcafee lo pago de por vida, lo tengo en el contrato con telefónica (y sé que esto a Toni no le hará mucha gracia, que lo acaba de renovar), pero si puedo, con lo que me ha pasado, voy a ir probando otros y si el Avast es bueno, me da igual pagarlo como lo pago, pero me lo cambio. El AVG, en cuanto llegue el dia 9 se va al carajo.
Subir
caravanserai
#9 por caravanserai el 10/08/2008
kensuke escribió:
Cuando cojes un virus de esa calaña, lo más seguro es un buen formateo y aprender para la próxima

Suerte!!


Y además, si tienes el disco con al menos 2 particiones, mejor. Programas en el "C:", y datos en el "D:". Así te evitas los tinglaos de restaurar copias de seguridad. Es una práctica cada vez más recomendable.
Hay algunos antivirus -ya sabreis de algunos, seguro- que se atrancan en los mosquitos, y dejan pasar elefantes :risa::risa:
Yo os recomiendo, además de los que ya habeis nombrado, tras 8 años de funcionamiento sin bichos, AntiVir. Es gratuito, y lo puedes comprar en la versión completa por 20€ de nada.
Salu2:saludo:
Subir
antonioovc15
#10 por antonioovc15 el 10/08/2008
Muchas gracias Rafa por la info , ya que este virus eras desconocido para mi , i ahora ya lo conozco , ademas siempre suelo utilizar programas p2p como Ares i Emule , i ahora tendré en cuenta eso! ;)


:saludo:
Alguien tiene el nod32 en versión infinita? Esque yo es el que tengo pro no se que tal es , si hay alguna mas recomdable decidmelo :);) Perdon por el off
Subir
guitarbdn
#11 por guitarbdn el 10/08/2008
gracias por la información. Es una gran putada que te entre un virus como este y te fastidie el ordenador.
Subir
toni
#12 por toni el 10/08/2008
Rafamontcada escribió:

Yo el Mcafee lo pago de por vida, lo tengo en el contrato con telefónica (y sé que esto a Toni no le hará mucha gracia, que lo acaba de renovar)

¿por qué no me ha de hacer gracia?? :no_lo_se:

Yo con teléfonica no tengo ADSL (dios me libre... :D )
Mi antivirus es un gasto de empresa :D

Llené de el portatil de virus y probé varios, el MCfee, el kaspersky, el panda, el norton, el NOD32, el AVG (eso es lo peor, fué el que menos virus detectó).
Está claro que cada antivirus detectará mejor unos virus que otros, pero a mi el que más virus me detectó fué el MCfee seguido por el kaspersky, aunque este último no detectó un virus que el primero si detectaba por eso a la hora de pagar por el producto me incliné por el último (el mcfee).

Saludos!! :saludo:
Subir
Respuesta rápida

Regístrate o para poder postear en este hilo