No puedo restaurar equipo por virus BAGLECerrado

Question

Hola, no puedo restaurar equipo . Me entró un virus que me entró a través de un crack falso.
Soy inexperto y pido ayuda muy clara y detallada para solucionar este gran problema.
Se me ha anulado el firewall de windows y he desinstalado el Panda, ya que el crack era para Panda y tampoco me dejaba activarlo. Por favor ayúdenme. Gracias.

Animals · Accepted Answer

Luego de 8 dias de lucha logre limpiar la pc del infernal virus beagle, los dramas comenzaron cuando baje por P2P un programita con intension de depurar direcciones de email erroneas o que son rechazadas, al activarlo provoco que el NOD 32 se desactive, y todos los programas relativos a la seguridad informatica no funcionen por ejemplo el pcleaner, desesperado intente instalar otro antivirus e inmediatamente se autodesistalaba o me decia que no era una aplicacion valida win32, intente ingresar a modo prueba de fallos y se la pc se autoreiniciaba. Investigue en internet porque me indicaba que no era una aplicacion valida win32 y alli me entere que era el virus BEAGLE, y que habia que instalar ELIBAGLA, que era un antivirus especifico, que se activaba manualmente pero no era residual.-
al detectarlo me indica que se habia creado una carpeta /m dentro de mi pc tras desbloquear sus archivos que no eran removibles, pude eliminar la misma y todos sus archivos.-
El problema seguia al intentar instalar cualquier antivirus , todos los que podemos conocer quienes nos movemos en internet, y siempre saltaba que no era una aplicacion win32, en consecuencia comprendi que el problema seguia.
Segui investigando en internet y alguien menciono un programita que se llama gmer.exe, y detecte que aun seguia infectada, dentro de Windows/system32/denominado "srosa.exe", no lo podia eliminar porque me indicaba que estaba activado, en consecuencia el programa me permitio desabilitarlo, y luego me indicaba que debia reiniciar mi pc, cosa que hice e inmediatamente intente instalar nod32. O sorpresa por fin pude instalarlo y actualizarlo con los virus actuales, cuando scanee nuevamente la pc, dentro de los Draivers de Windows encontro aproximadamente 20 variantes del beagle, identificado con distintos numeros seguidos del .exe los elimine, pase luego todos los malware posibles, hasta que siempre me dio que no tenia nada.
Estoy mas tranquilo sin formatear logre eliminar esta pesadilla espero que a otros les sirva o entienda mi explicacion.

tardo5 · Answer

te dire una cosa para restaurar windows anda a la web micrososft y te lo explicaran mejor ok

kalimerak · Answer

En la web de windows no me dan solucion.

el juli · Answer

no quiero ser pesimista, pero ese virus tambien me afecto a mi y tarde mas tiempo en buscar una solucion que en  formatear. ahora lo mas peligroso del caso seria que este virus este almacenado en alguno de tus medios extraibles, o que al querer respaldar tu informacion tambien te veas afectado con una copia del mugroso virus porque si asi fuera tendras muchos dolores de cabeza.
yo se que para todo existe una solucion, pero yo he considerado este virus como el mas inteligente y peligroso de todos y ademas pienso que está bajo respaldo de todas las firmas de programas y antivirus, ya que se me hace muy ilogico que exista un virus como este que daña antivirus, y ademas que casualidad que ninguno lo elimina? o porque se encuentra la mayor de las veces en cracks?.
asi que la unica solucion posible para mi seria no confiar en ningun crack, o por el contrario comprar una maquina para 
trabajar con ckacks e infectar a proposito esa maquina para poder practicar su eliminacion, que no lo aconsejo.
de cualquier manera espero que les sirva este aporte. gracias

foly1 · Answer

ssi utilizarais buenos antivirus como kaspersky avira o nod 32 sin crack no os entraria ese virus.saludos

foly1 · Answer

https://es.ccm.net/contents/743-utilidades-para-eliminar-virus-y-gusanos-comunes  mira en las utilidades de desinfeccion para bagle

e · Answer

hola por la descrip cion es un virue beaggleSíntomas debidos a la infección

Cuando éste es ejecutado, el gusano muestra una ventana que te pedirá que selecciones un archivo para ser crackeado. En realidad es un señuelo ya que no crakeará nada!



Mensaje que se obtiene después de la búsqueda:



Lo primero que hace es infectar un archivo sano en el arranque, después de una lectura del registro, elimina la clave safeboot que permite el inicio en modo seguro, también neutraliza el funcionamiento del antivirus y el cortafuegos, e impide que se reinstalen. Te darás cuenta rápidamente que una gran parte de los programas de seguridad no podrán ejecutarse y aparecerá un mensaje de error: "aplicación win32 no válida..."

Atención Por ningún motivo intentes reiniciar en modo seguro a través del comando msconfig so pena de ver a Windows reiniciado indefinidamente en bucle!
Método de desinfección

Existes varias soluciones a nuestra disposición
Reparar el acceso al modo seguro

Puedes comenzar reparando el acceso al modo seguro, para ello debes descargar:

    * la aplicación siguiente: https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe
    * o el archivo *.reg de acuerdo a la versión de Windows:
          o http://www.forospyware.es/topico-170-reparar-modo-seguro.html


1er Método: ELIBAGLA

    * Descarga ELIBAGLA (by SATINFO) de la parte de abajo de esta página: http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    * Haz clic en el botón Descargar Elibagla y ponlo en tu escritorio.
    * Haz doble clic encima para abrirlo
    * Verifica que en el menú desplegable Unidad, se encuentra C:\ (o la partición que contiene el sistema operativo)
    * Verifica también que la opción Eliminar Ficheros Automaticamente, en la parte baja de la ventana, esté marcada.
    * Haz clic en el botón Explorar para lanzar el análisis, al final del scan, se generará un informe llamado infosat.txt que será guardado en la raíz C:\infosat.txt





Ejemplo de un informe conteniendo archivos infectados:

Thu Feb 28 21:49:09 2008 
EliBagle v11.08  (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Acción Directa): 
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. 
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle 
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. 
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. 
Restaurada Clave: "SafeBoot\Minimal y Network" 
Reinicie para Completar la Limpieza. 
 
Thu Feb 28 21:49:48 2008 
EliBagle v11.08  (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Exploración): 
Explorando Unidad C:\ 
C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE -->Eliminado
Bagle.dldr 
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para
completar la Limpieza) 
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para
completar la Limpieza) 
 
Nº Total de Directorios:   7505 
Nº Total de Ficheros:      82386 
Nº de Ficheros Analizados: 12450 
Nº de Ficheros Infectados: 3 
Nº de Ficheros Limpiados:  3 

    * Uso del informe:
          o la mención: Eliminado Bagle significa que el componente del gusano ha sido eliminado.
          o la mención: Bagle Acceso Denegado siginifica que el acceso a este archivo ha sido denegado, por lo tanto no ha sido eliminado
          o la mención: Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) significa que se necesita volver a pasar la aplicación para completar la limpieza!
          o Elibagla es capaz de reparar la clave safeboot eliminada por Bagle, en ese caso, la siguiente mención aparece en el informe: Restaurada Clave: "SafeBoot\Minimal y Network"



Observación: se debe pasar varias veces Elibagla en modo normal y en modo seguro si es posible para poder eliminar la mayor cantidad de archivos infectados.

En nuestro ejemplo, Elibagla no ha eliminado de una sola vez la infección, vamos a ver en lo que sigue cómo otras herramientas pueden ser utilizadas para completar la eliminación del gusano Bagle.
2do Método: Gmer

    * Descargar Gmer (by Przemyslaw Gmerek): http://www2.gmer.net/gmer.zip



    * Descomprime el archivo y ponlo en el escritorio, haz doble clic en gmer.exe
    * IMOPORTANTE: si una alerta de antivirus aparece para el archivo gmer.sys o gmer.exe, igual ejecútalo!
    * Haz clic en la pestaña rootkit, asegúrate de que las casillas: Services, Registry y Files estén marcadas.
    * Haz clic en scan, una vez terminado, ve a:
          o Inicio
          o Ejecutar y escribe el comando cmd luego Aceptar
          o En la ventana negra que se abre, copia cada una de las líneas, previamente imprimidas, una por una poniendo mucha atención (sintaxis, espacio entre palabras...), y valida cada una de las líneas con la tecla Enter.
          o En este caso, el script ha sido elaborado en función del informe de Elibagla precedente:




gmer -killall 
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SROSA" 
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\SROSA" 
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\SROSA" 
gmer -del service SROSA
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS" 
gmer -del file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE" 
gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT" 
gmer -del file "C:\WINDOWS\system32\MDELK.EXE" 
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE" 
gmer -reboot

    * Si al final del proceso, el PC no reinicia sólo, haz un reset para forzar el reinicio.



Observación: este método supone que sabemos hacer scripts con gmer!
3er Método: Combofix

    * Descargar Combofix (by Subs) desde esta página:
    * https://download.bleepingcomputer.com/sUBs/ComboFix.exe
    * Guárdalo en el escritorio
    * Desconéctate de Internet y cierra todas las aplicaciones y programas
    * Haz doble clic en combo-fix.exe
    * Presiona la tecla Y (Yes) para iniciar el scan
    * El informe será creado en la raíz: C:\Combofix.txt





Observación: combo se encarga de eliminar archivos infectados ligados a bagle. Es imprescindible que descargues combo desde el enlace dado líneas arriba (versión renombrada) o renómbralo tu mismo combo (clic derecho en el archivo < renombrar), si no Combo será totalmente ineficaz frente a Bagle!
4to Método: Malwarebyte's

Esta muy buena herramienta tiene la particularidad de detectar la totalidad de la infección Bagle, sin embargo sólo es eficaz si utilizas Eligagla antes para neutralizar el archivo infectado identificado en 04 (hijackthis) o si esta 04 ya ha sido eliminada antes.

    * Descargar MalwareByte's Anti-Malware:
    * Instala el programa en el escritorio:
          o Si falta el archivo COMCTL32.OCX, puedes descargarlo de aquí 
    * Haz las actualizaciones (haz clic en Actualizar luego Buscar actualizaciones)
    * Inicia en modo seguro
    * Ejecuta MalwareByte's Anti-Malware, haz clic en "Realizar un examen completo" luego Examinar y selecciona todos los discos duros.
    * Una vez terminado el scan, haz clic en Eliminar (si un mensaje te pide reiniciar el PC, acepta!)
    * Un informe será generado, guárdalo en un lugar donde lo puedas encontrar


Trucos Prácticos!

Renombrar ELIBAGLA

    * Aquí un truco capaz de hacer a Elibagla más eficaz frente a las variantes de Bagle!
    * Sólo hay que renombrarlo con el mismo nombre de uno de los archivos que hacen parte de la infección: aquí mdelk.exe y el rootkit será incapaz de diferenciar el archivo de la infección que lleva el mismo nombre y que le autoriza un campo de acción mucho más importante.
    * Elibagla renombrado de este modo será capaz de neutralizar, en una sola pasada, totalmente la infección. Luego sólo hay que reiniciar el PC y hacer un segundo scan para eliminar el resto de la infección.
    * Hay que tener en cuenta que este truco funciona únicamente si el exe de Elibagla es renombrado correctamente mdelk.exe!


En Linea de comando

    * Este truco está destinado principalmente a los usuarios conocedores, así como a las personas que ayudan en el foro virus/seguridad y que les será muy útil.
    * El falso crack que se copia en lugar de un archivo sano tiene la particularidad de utilizar un protector de archivo: Themida.
    * Este comando es capaz de revelar la presencia de archivos infectados ligados a Bagle y camuflados por este protector de archivo, abre el prompt y escribe la línea siguiente:
          o findstr /S /I /M /L "Themida" C:\*.exe>>"%userprofile%\escritorio\Startvir.txt"
          o El archivo Startvir.txt en el escritorio listará los archivos sospechosos encontrados, sólo tendrás que eliminar los archivos después de haber interpretado los resultados.



Existen muchos otros métodos para eliminar este gusano!

Si tienes problemas para eliminar a este gusano, el que agregado a otras infecciones puede ser muy difícil de desalojar, no dudes en poner un mensaje en el foro virus/seguridad explicando brevemente las operaciones efectuadas y los problemas que encontraste.

e · Answer

para los del virus bagel solo sigan las instrucciones de este link https://es.ccm.net/faq/447-como-eliminar-el-virus-beagle-bagle

e · Answer

para los del virus bagle solo seigan este link https://es.ccm.net/faq/447-como-eliminar-el-virus-beagle-bagle

miguelcl · Answer

Yo tengo un problema parecido, no puedo iniciar secion en windows vista, al ingresar contraseña se queda trabado:S, entro en modo a prueba de fallos, para tratar de restaurar mi sistema, (no se si he creado puntos, pero ya la habia restaurado antes), pero me dice que no tengo puntos de restauracion, como dato curioso, mi antivirus no servia:S, pero  hice todos los escaneos como dicen aca, y todos salieron limpios, no se que hacer!!

No puedo restaurar equipo por virus BAGLE

10 respuestas

Discusiones similares

¡Suscríbete a nuestra Newsletter!