Tema: Secuelas del Trojan-Downloader Win32.Bagle.od
Ver Mensaje Individual
  post #1 (permalink)  
Antiguo 08/05/08, 07:54:19
Heth Heth está offline
Usuario
  
Registrado: mar 2007
Ubicación: España
Mensajes: 46
Secuelas del Trojan-Downloader Win32.Bagle.od
Hace unos días tuve una infección del Bagle.od, con todos los síntomas de reinicios continuos, aparición de avisos etc., similares a los descritos en otros post.
Siguiendo instrucciones de temas de ese foro pasé Ccleaner, SuperantiSpyware, Spybot, Malwarebyts y los antivirus Kaspersky, Ewido y Nod32. Practicamente acabé con el Bagle, pero no he acabado de limpiar el ordenador.
Adjunto informes de Kaspersky y Nod32, que son los que dado algo significativo.
KASPERSKY ONLINE SCANNER INFORME
jueves, 08 de mayo de 2008 10:35:04
Sistema operativo: Microsoft Windows XP Professional, (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 8/05/2008
Registros en la base antivirus: 667290
Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero
Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\
Estadísticas
Número de objeros analizados 91166
Virus encontrados 1
Objetos infectados 2 / 0
Objetos sospechosos 0
Duración del análisis 03:48:53

Bombre del objeto infectado Nombre del virus Última acción
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\SchedLog.Txt Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\SYSTEM32\config\system Object is locked saltado
C:\WINDOWS\SYSTEM32\config\system.LOG Object is locked saltado
C:\WINDOWS\SYSTEM32\config\software.LOG Object is locked saltado
C:\WINDOWS\SYSTEM32\config\default.LOG Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SECURITY Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SAM Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\SYSTEM32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\SYSTEM32\config\SOFTWARE Object is locked saltado
C:\WINDOWS\SYSTEM32\config\DEFAULT Object is locked saltado
C:\WINDOWS\SYSTEM32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\SYSTEM32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\SYSTEM32\h323log.txt Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
C:\WINDOWS\TEMP\Perflib_Perfdata_474.dat Object is locked saltado
C:\WINDOWS\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\WINDOWS\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\Debug\oakley.log Object is locked saltado
C:\WINDOWS\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\undo\backup.cab//Device/Harddisk0/Partition1/WINDOWS/All Users/Men· Inicio/Programas/Descargar programas.exe Infectados: Backdoor.Win32.Hupigon.bnca saltado
C:\undo\backup.cab CAB: infectado - 1 saltado
C:\Documents and Settings\jame\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\jame\Configuración local\Temp\Perflib_Perfdata_310.dat Object is locked saltado
C:\Documents and Settings\jame\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\jame\Configuración local\Historial\History.IE5\MSHist0120080508200805 09\index.dat Object is locked saltado
C:\Documents and Settings\jame\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\jame\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
Análisis completado.

Nod32

# version=4
# OnlineScanner.ocx=1.0.0.635
# OnlineScannerDLLA.dll=1, 0, 0, 79
# OnlineScannerDLLW.dll=1, 0, 0, 78
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3083 (20080507)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.064 (20070717)
# EOSSerial=2c8160ba6f607c499dc3989344930141
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2008-05-08 01:06:21
# local_time=2008-05-08 03:06:21 (+0100, Hora de verano romance)
# country="Spain"
# osver=5.1.2600 NT
# scanned=299383
# found=21
# scan_time=7539
C:\FILE0004.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FILE0005.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\WINDOWS\SYSTEM32\weezaduhcx.exe probably a variant of Win32/Adware.NaviPromo application (unable to clean - deleted) 00000000000000000000000000000000
C:\WINDOWS\SYSTEM32\antnpckm.exe a variant of Win32/Adware.NaviPromo application (unable to clean - deleted) 00000000000000000000000000000000
C:\WINDOWS\SYSTEM32\xrhtzu.exe probably a variant of Win32/Adware.NaviPromo application (unable to clean - deleted) 00000000000000000000000000000000
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\Recycled\Dc6.EXE Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.002\FILE0001.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.003\FILE0003.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.003\FILE0004.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.004\FILE0001.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.005\FILE0009.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.005\FILE0012.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.006\FILE0000.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.006\FILE0003.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.007\FILE0000.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.007\FILE0001.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.008\FILE0006.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.008\FILE0010.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.009\FILE0000.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
C:\FOUND.009\FILE0001.CHK Win32/Bagle.OP worm (unable to clean - deleted) 00000000000000000000000000000000
Como consecuencia de todo lo anterior, quisiera eliminar los virus que todavía quedan , pues el ordenador me funciona muy defectuosamente en muchos aspectos. Los más relevantes se producen durante el arranque,
Arrancando de forma normal:
aparece un pantalla azul, indicando que va a hacer una comprobación del siistema de archivos de C:, en esa comprobación indica de algunos archivos que "La primera unidad de asignación no es válida.La entrada estará truncada", y a continuación que ha resuelto la situación.
Si arranco en forma segura:
aparece una pantalla azul indicando que se ha encontrado un problema y Windows ha sido apagado para evitar daños en el equipo.Recomienda, si es la primera vez que aparece el aviso, reiniciar . Si fuera la segunda vez, ver si existen virus, y quitar los discos duros instalados recientemente y Ejecutar Chkdsk. Para salir de esa pantalla azul no me ha quedado más remedio que apagar el ordenador. He pasado un par de veces el Scandisk completo ( 20 horas) y en algún caso ha indicado problemas pero los ha resuelto.
Evidentemente, todas las actuaciones arriba indicadas, no han sido en modo seguro, pues no he podido arranar de esa manera.
No doy más síntomas pues esto se haría interminable.
A la vista de todo lo anterior ¿ Qué hago?
Gracias por anticipado.
Responder Con Cita