|
Mensajes: 1,315
|
|
Registro en: Oct 2009
|
|
|
|
Eliminar Virus Bagle
El malware Bagle es en realidad un gusano informático que se propaga principalmente en los programas P2P y a través de cracks falsos, keygéns, (programas piratas), al igual que por email.
El internauta creyendo que está descargando un crack para un programa, cuando hace una búsqueda con un programa P2P, instala él mismo al gusano en su PC ya que el archivo .exe contenido en el archivo es en realidad el gusano Bagle.
Los nombres de los programas crackeados son diversos y comprenden una gama bastante amplia de tipos de programas. Este gusano es por lo general muy difícil de eliminar.
Síntomas debidos a la infección:
Cuando éste es ejecutado, el gusano muestra una ventana que te pedirá que selecciones un archivo para ser crackeado. En realidad es una trampa, ya que no crakeará nada.
Dándonos posteriormente el siguiente mensaje después de la búsqueda
Muy importante:
Por ningún motivo intenten reiniciar en Modo Seguro a través del comando msconfig so pena de ver a Windows reiniciado indefinidamente en bucle.
Existen varias soluciones a nuestra disposición para reparar el acceso al Modo Seguro
Empezaremos reparando el acceso al modo seguro, para ello descargamos:
ésta aplicación:
http://download.bleepingcomputer.com/sUB...Repair.exe
o el archivo *.reg de acuerdo a la versión de Windows:
http://forum.hijackthis.de/attachment.ph...1187631899
También cabe la posibilidad de Reparar el Modo Seguro con el programa SuperAntispyware en el caso que lo tuviésemos instalado en el pc.
Vamos a mostrar algunos métodos "medianamente sencillos" a nivel de usuario poco avanzado para la eliminación del citado virus:
1er Método: ELIBAGLA:
Descarga ELIBAGLA (by SATINFO) de la parte de abajo de esta página:
http://www.zonavirus.com/descargas/elibagla.asp
Haz clic en el botón Descargar Elibagla y ponlo en tu escritorio.
Haz doble clic encima para abrirlo
Verifica que en el menú desplegable Unidad, se encuentra C:\ (o la partición que contiene el sistema operativo)
Verifica también que la opción Eliminar Ficheros Automáticamente, en la parte baja de la ventana, está marcada.
Haz clic en el botón Explorar para lanzar el análisis, al final del scan, se generará un informe llamado infosat.txt que será guardado en la raíz C:\infosat.txt
Uso del informe:
La mención: Eliminado Bagle significa que el componente del gusano ha sido eliminado.
La mención: Bagle Acceso Denegado siginifica que el acceso a este archivo ha sido denegado, por lo tanto no ha sido eliminado
La mención: Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) significa que se necesita volver a pasar la aplicación para completar la limpieza.
Elibagla es capaz de reparar la clave safeboot eliminada por Bagle, en ese caso, la siguiente mención aparece en el informe: Restaurada Clave: "SafeBoot\Minimal y Network"
Sólo hay que renombrarlo con el mismo nombre de uno de los archivos que hacen parte de la infección: aquí mdelk.exe y el rootkit será incapaz de diferenciar el archivo de la infección que lleva el mismo nombre y que le autoriza un campo de acción mucho más importante.
Elibagla renombrado de este modo será capaz de neutralizar, en una sola pasada, totalmente la infección. Luego solo hay que reiniciar el PC y hacer un segundo scan para eliminar el resto de la infección.
Hay que tener en cuenta que este truco funciona unicamente si el exe de Elibagla es renombrado correctamente mdelk.exe.
2º Método:Fs-FixBagle
FS-FixBagle es una herramienta creada y mantenida por el Staff de InfoSpyware, para uso y recomendación de los Miembros del Foro de Infospyware.com.
Esta herramienta, busca y elimina archivos, carpetas y entradas en el registro, pertenecientes a mas de 170 variantes del Virus Bagle. Además de contar con una heurística que ayudará a detectar nuevas variantes, así como su eliminación temprana.
Requerimientos del sistema: Esta herramienta funciona correctamente en Windows 2000 y Windows XP.
No es compatible con Windows Vista.
Ejecución:
1.- Descargar FS-FixBagle:
http://www.forospyware.com/attachments/f...xbagle.zip
2.- Una vez descargado el Archivo en el escritorio, procedemos a descomprimirlo.
[SIZE=3]3.- Se creará una carpeta con el Nombre de FS-Fix, entramos en ella.
4.- Localizamos el ejecutable "FS-FixBagle.exe". hacemos doble clic sobre este.
5.- Una vez en la Pantalla principal, presionamos cualquier tecla.
6.- Ahora vamos a escoger la "Opción 1"
7.- Iniciará el Proceso de Búsqueda y eliminación, así como algunos avisos técnicos
Cita:
NOTA: Si FS-FixBagle, encuentra el "Driver/Rootkit, Srora.sys", será necesario reiniciar el ordenador para eliminar este Rootkit, al siguiente Reinicio. Permita el reinicio automático como se aprecia en la siguiente figura.
Después de que se haya reiniciado el Ordenador, FS-FixBagle iniciará con windows y completará el proceso, siguiendo al Paso 8.
8.- Iniciará el proceso de desinfección, Creando una copia de Registro:
Después la búsqueda y eliminación de archivos...
9.- FS-FixBagle, realiza una búsqueda para detectar posibles Rootkits y Archivos ocultos.
Al terminar el Análisis, veremos el liberador de espacio de Windows.
10.- Para finalizar el Proceso de desinfección del Virus Bagle, la herramienta, pedirá el reinicio, Presione sobre "SI"
NOTA: FS-FixBagle, genera un reporte con las acciones tomadas durante el proceso de desinfección del ordenador. El reporte se encuentra generalmente en C:\BagleReport.txt, copiar y pegar el contenido de dicho reporte en el tema donde se le está brindando ayuda. También crea una carpeta en C:\_FixBagle, donde podemos encontrar una copia de los archivos eliminados, así como una copia completa del registro de Windows.
*Importante* Algunos antivirus y/o programas anti-malware detectan el proceso de FS-FixBagle, como malicioso, pero esto es un "Falso Positivo" .
En la ruta donde hayas descargado "%CD%\FS-FixBagle.zip" como APPL/NirCmd.E.2.B o Risktool.Nircmd.
Debes ignorar esas alertas y desactivar el antivirus temporalmente para permitir que FS-FixBagle lleve a cabo el proceso de desinfección.
3er Método: Malwarebyte's
Esta es una excelente herramienta, tiene la particularidad de detectar la totalidad de la infección Bagle, sin embargo es mucho más eficaz si utilizas Elibagla antes para neutralizar el archivo infectado identificado en 04 (hijackthis) o si esta 04 ya ha sido eliminada antes.
Instala el programa en el escritorio: Lo puedes bajar de aquí:
http://www.infospyware.com/antispyware/m...timalware/
Si falta el archivo COMCTL32.OCX, puedes descargarlo de aquí:
http://www.malekal.com/download/comctl32.ocx
Realiza las actualizaciones: (haz clic en Actualizar luego Buscar actualizaciones)
Inicia en modo seguro
Ejecuta MalwareByte's Anti-Malware, haz clic en Realizar un examen completo, luego Examinar y selecciona todos los discos duros.
Una vez terminado el scan, haz clic en Eliminar (si un mensaje te pide reiniciar el PC, acepta)
Un informe será generado, guárdalo en un lugar donde lo puedas encontrar. Luego de todo ésto es conveniente ejecutar CCleaner para limpiar cookies, temporales y el Registro.
Aunque existen otras herramientas más potentes para la eliminación de este bicho, he optado por poner las de más fácil manejo para los usuarios poco avanzados, ya que el uso de otras herramientas más poderosas han de ser supervisadas por personal experto. Espero que esta guía recopilada con la info de algunas webs pueda ayudar a cualquier compañero que lo precise.
Fuentes:
http://www.forospyware.com/t195274.html#post820239
http://es.kioskea.net/faq/sujet-447-...s-beagle-bagle
Lo único que le falla a las lumis es el servicio post-venta: si no quedas satisfecho, no te devuelven el dinero.
(Este mensaje fue modificado por última vez en: 26-04-2011 05:37 PM por Cambu.)
|
|
