No puedo restaurar equipo por virus BAGLE

Cerrado
Denunciar
Message postés
8
Date d'inscription
martes, 12 de agosto de 2008
Estatus
Miembro
Última intervención
jueves, 14 de agosto de 2008
-
 miguelcl -
Hola, no puedo restaurar equipo . Me entró un virus que me entró a través de un crack falso.
Soy inexperto y pido ayuda muy clara y detallada para solucionar este gran problema.
Se me ha anulado el firewall de windows y he desinstalado el Panda, ya que el crack era para Panda y tampoco me dejaba activarlo. Por favor ayúdenme. Gracias.

10 respuestas

Luego de 8 dias de lucha logre limpiar la pc del infernal virus beagle, los dramas comenzaron cuando baje por P2P un programita con intension de depurar direcciones de email erroneas o que son rechazadas, al activarlo provoco que el NOD 32 se desactive, y todos los programas relativos a la seguridad informatica no funcionen por ejemplo el pcleaner, desesperado intente instalar otro antivirus e inmediatamente se autodesistalaba o me decia que no era una aplicacion valida win32, intente ingresar a modo prueba de fallos y se la pc se autoreiniciaba. Investigue en internet porque me indicaba que no era una aplicacion valida win32 y alli me entere que era el virus BEAGLE, y que habia que instalar ELIBAGLA, que era un antivirus especifico, que se activaba manualmente pero no era residual.-
al detectarlo me indica que se habia creado una carpeta /m dentro de mi pc tras desbloquear sus archivos que no eran removibles, pude eliminar la misma y todos sus archivos.-
El problema seguia al intentar instalar cualquier antivirus , todos los que podemos conocer quienes nos movemos en internet, y siempre saltaba que no era una aplicacion win32, en consecuencia comprendi que el problema seguia.
Segui investigando en internet y alguien menciono un programita que se llama gmer.exe, y detecte que aun seguia infectada, dentro de Windows/system32/denominado "srosa.exe", no lo podia eliminar porque me indicaba que estaba activado, en consecuencia el programa me permitio desabilitarlo, y luego me indicaba que debia reiniciar mi pc, cosa que hice e inmediatamente intente instalar nod32. O sorpresa por fin pude instalarlo y actualizarlo con los virus actuales, cuando scanee nuevamente la pc, dentro de los Draivers de Windows encontro aproximadamente 20 variantes del beagle, identificado con distintos numeros seguidos del .exe los elimine, pase luego todos los malware posibles, hasta que siempre me dio que no tenia nada.
Estoy mas tranquilo sin formatear logre eliminar esta pesadilla espero que a otros les sirva o entienda mi explicacion.
3
Gracias

Unas palabras de agradecimiento nunca están de más. Deja tu comentario

CCM 11050 usuarios nos han dicho gracias este mes

Buenos Dias:
Acabo de leer tu mensaje y a mi me pasa algo parecido pero no se como hacer todo eso y ne donde sacar esos programs ya que no siempre son fiables, me podrias ayudar??Muchisimas Gracias
Un Saludo
Message postés
1354
Date d'inscription
sábado, 13 de diciembre de 2008
Estatus
Miembro
Última intervención
viernes, 7 de mayo de 2010
761 > wane
entra en modo seguro con funciones de red y descarga y ejecutahttp://www.zonavirus.com/datos/descargas/95/elibagla.asp descarga despues http://es.ccm.net/telecharger/telecharger 665 malwarebytes anti malware lo actualizas y eliminas lo que te encuentre en analisis completo del pc luego limpia registro y temporales con http://es.ccm.net/telecharger/telecharger 1383 ccleaner y despues instala y ejecutahttp://dr-web-cureit.softonic.com/ y espero que te quede limpio como una patena
> wane
HOLA EL PRIMER PASO PARA ELIMINAR ESTE MOLESTO VIRUS ES DECARGAR LAS SIGHUIENTES APLICACIONES:
1)ELISTARA Y ELIBAGLA ESTE ULTIMO LO DESCARGAN POR ZONA VIRUS EN ALGUNAS OCACIONES TENES QUE DESABILITAR EL ANTIVIRUS QUE TENGAS INSTALADO PARA PODER DESCARGAR EL ARCHIVO TAMBIEN DESCARGUEN MALWAREBYTES Y SD FIX Y POR ULTIMO TROJAN REMOVER INSTRALEN Y ACTUALICEN EL MALWAREBYTES Y EL TROJAN REMOVER


(2)

Ejecutamos los antivirus Elistara y Elibagla (este último para descartar la presencia del virus Beagle/Bagla) y dejamos que eliminen lo que encuentren.

(3)

a. Reiniciamos en modo seguro (a prueba de fallos) con funciones de red. iniciar en modo seguro se logra así: encendemos la PC, apretamos continuamente F8 hasta que nos aparezca una lista de opciones de inicio de Windows. Modo Seguro con funciones de red.

b. Ejecutamos el Malwarebytes Anti-Malware > Actualizamos > Escáner > Análisis Completo y en caso de encontrar elementos, los eliminamos con "quitar lo seleccionado". Nos pedirá reiniciar, le decimos que sí pero volveremos a tocar F8 para..

(4)

Nuevamente reiniciar en modo seguro (a prueba de fallos) con funciones de red para correr la herramienta SDFix. Simplemente doble click en "SDFix.zip" para extraer los datos y ejecutar el archivo "RunThis.bat". Este proceso puede durar unos minutos, dependiendo la PC de cada uno. Aquí un tutorial que recomiendo leer

(5)

a. Reiniciar normalmente

b. ¿Recuerdan eso que dije más arriba sobre bichitos que se auto regeneran en cada inicio de sistema? Bueno, de esto se va a encargar el fantástico Trojan Remover. Lo ejecutamos y a medida que vaya encontrando procesos malware ocultos vamos seleccionando siempre la opción "Prevent this file from loading and disable the file by renaming it". Para más información sobre estas opciones

c. El Trojan Remover pedirá reiniciar, le decimos que sí y reiniciamos normalmente.

********


Recomiendo ahora chequear si los síntomas siguen presentes en el sistema. Probar si el antivirus inicia correctamente, por ejemplo. No es mala idea volver a pasar el Trojan Remover para confirmar que nada haya quedado ahí molestando. Como también hacer un último escaneo completo con el Malwarebytes Anti-Malware.
te dire una cosa para restaurar windows anda a la web micrososft y te lo explicaran mejor ok
jo tio..eres un crack...creo que estas listo para empezar tu propio negocio ;)
no quiero ser pesimista, pero ese virus tambien me afecto a mi y tarde mas tiempo en buscar una solucion que en formatear. ahora lo mas peligroso del caso seria que este virus este almacenado en alguno de tus medios extraibles, o que al querer respaldar tu informacion tambien te veas afectado con una copia del mugroso virus porque si asi fuera tendras muchos dolores de cabeza.
yo se que para todo existe una solucion, pero yo he considerado este virus como el mas inteligente y peligroso de todos y ademas pienso que está bajo respaldo de todas las firmas de programas y antivirus, ya que se me hace muy ilogico que exista un virus como este que daña antivirus, y ademas que casualidad que ninguno lo elimina? o porque se encuentra la mayor de las veces en cracks?.
asi que la unica solucion posible para mi seria no confiar en ningun crack, o por el contrario comprar una maquina para
trabajar con ckacks e infectar a proposito esa maquina para poder practicar su eliminacion, que no lo aconsejo.
de cualquier manera espero que les sirva este aporte. gracias
Message postés
1354
Date d'inscription
sábado, 13 de diciembre de 2008
Estatus
Miembro
Última intervención
viernes, 7 de mayo de 2010
761
ssi utilizarais buenos antivirus como kaspersky avira o nod 32 sin crack no os entraria ese virus.saludos
perdona, yo tengo el kaspersky 2010 con 3 licencias , actualizado a diario y tengo el dichoso virus , así que tampoco te fies.Un saludo
Message postés
1354
Date d'inscription
sábado, 13 de diciembre de 2008
Estatus
Miembro
Última intervención
viernes, 7 de mayo de 2010
761
hola por la descrip cion es un virue beaggleSíntomas debidos a la infección

Cuando éste es ejecutado, el gusano muestra una ventana que te pedirá que selecciones un archivo para ser crackeado. En realidad es un señuelo ya que no crakeará nada!



Mensaje que se obtiene después de la búsqueda:



Lo primero que hace es infectar un archivo sano en el arranque, después de una lectura del registro, elimina la clave safeboot que permite el inicio en modo seguro, también neutraliza el funcionamiento del antivirus y el cortafuegos, e impide que se reinstalen. Te darás cuenta rápidamente que una gran parte de los programas de seguridad no podrán ejecutarse y aparecerá un mensaje de error: "aplicación win32 no válida..."

Atención Por ningún motivo intentes reiniciar en modo seguro a través del comando msconfig so pena de ver a Windows reiniciado indefinidamente en bucle!
Método de desinfección

Existes varias soluciones a nuestra disposición
Reparar el acceso al modo seguro

Puedes comenzar reparando el acceso al modo seguro, para ello debes descargar:

* la aplicación siguiente: https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe
* o el archivo *.reg de acuerdo a la versión de Windows:
o http://www.forospyware.es/topico-170-reparar-modo-seguro.html


1er Método: ELIBAGLA

* Descarga ELIBAGLA (by SATINFO) de la parte de abajo de esta página: http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Haz clic en el botón Descargar Elibagla y ponlo en tu escritorio.
* Haz doble clic encima para abrirlo
* Verifica que en el menú desplegable Unidad, se encuentra C:\ (o la partición que contiene el sistema operativo)
* Verifica también que la opción Eliminar Ficheros Automaticamente, en la parte baja de la ventana, esté marcada.
* Haz clic en el botón Explorar para lanzar el análisis, al final del scan, se generará un informe llamado infosat.txt que será guardado en la raíz C:\infosat.txt





Ejemplo de un informe conteniendo archivos infectados:

Thu Feb 28 21:49:09 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Thu Feb 28 21:49:48 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE -->Eliminado
Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para
completar la Limpieza)
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para
completar la Limpieza)

Nº Total de Directorios: 7505
Nº Total de Ficheros: 82386
Nº de Ficheros Analizados: 12450
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 3

* Uso del informe:
o la mención: Eliminado Bagle significa que el componente del gusano ha sido eliminado.
o la mención: Bagle Acceso Denegado siginifica que el acceso a este archivo ha sido denegado, por lo tanto no ha sido eliminado
o la mención: Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) significa que se necesita volver a pasar la aplicación para completar la limpieza!
o Elibagla es capaz de reparar la clave safeboot eliminada por Bagle, en ese caso, la siguiente mención aparece en el informe: Restaurada Clave: "SafeBoot\Minimal y Network"



Observación: se debe pasar varias veces Elibagla en modo normal y en modo seguro si es posible para poder eliminar la mayor cantidad de archivos infectados.

En nuestro ejemplo, Elibagla no ha eliminado de una sola vez la infección, vamos a ver en lo que sigue cómo otras herramientas pueden ser utilizadas para completar la eliminación del gusano Bagle.
2do Método: Gmer

* Descargar Gmer (by Przemyslaw Gmerek): http://www2.gmer.net/gmer.zip



* Descomprime el archivo y ponlo en el escritorio, haz doble clic en gmer.exe
* IMOPORTANTE: si una alerta de antivirus aparece para el archivo gmer.sys o gmer.exe, igual ejecútalo!
* Haz clic en la pestaña rootkit, asegúrate de que las casillas: Services, Registry y Files estén marcadas.
* Haz clic en scan, una vez terminado, ve a:
o Inicio
o Ejecutar y escribe el comando cmd luego Aceptar
o En la ventana negra que se abre, copia cada una de las líneas, previamente imprimidas, una por una poniendo mucha atención (sintaxis, espacio entre palabras...), y valida cada una de las líneas con la tecla Enter.
o En este caso, el script ha sido elaborado en función del informe de Elibagla precedente:




gmer -killall
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\SROSA"
gmer -del service SROSA
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS"
gmer -del file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT"
gmer -del file "C:\WINDOWS\system32\MDELK.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE"
gmer -reboot

* Si al final del proceso, el PC no reinicia sólo, haz un reset para forzar el reinicio.



Observación: este método supone que sabemos hacer scripts con gmer!
3er Método: Combofix

* Descargar Combofix (by Subs) desde esta página:
* https://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Guárdalo en el escritorio
* Desconéctate de Internet y cierra todas las aplicaciones y programas
* Haz doble clic en combo-fix.exe
* Presiona la tecla Y (Yes) para iniciar el scan
* El informe será creado en la raíz: C:\Combofix.txt





Observación: combo se encarga de eliminar archivos infectados ligados a bagle. Es imprescindible que descargues combo desde el enlace dado líneas arriba (versión renombrada) o renómbralo tu mismo combo (clic derecho en el archivo < renombrar), si no Combo será totalmente ineficaz frente a Bagle!
4to Método: Malwarebyte's

Esta muy buena herramienta tiene la particularidad de detectar la totalidad de la infección Bagle, sin embargo sólo es eficaz si utilizas Eligagla antes para neutralizar el archivo infectado identificado en 04 (hijackthis) o si esta 04 ya ha sido eliminada antes.

* Descargar MalwareByte's Anti-Malware:
* Instala el programa en el escritorio:
o Si falta el archivo COMCTL32.OCX, puedes descargarlo de aquí
* Haz las actualizaciones (haz clic en Actualizar luego Buscar actualizaciones)
* Inicia en modo seguro
* Ejecuta MalwareByte's Anti-Malware, haz clic en "Realizar un examen completo" luego Examinar y selecciona todos los discos duros.
* Una vez terminado el scan, haz clic en Eliminar (si un mensaje te pide reiniciar el PC, acepta!)
* Un informe será generado, guárdalo en un lugar donde lo puedas encontrar


Trucos Prácticos!

Renombrar ELIBAGLA

* Aquí un truco capaz de hacer a Elibagla más eficaz frente a las variantes de Bagle!
* Sólo hay que renombrarlo con el mismo nombre de uno de los archivos que hacen parte de la infección: aquí mdelk.exe y el rootkit será incapaz de diferenciar el archivo de la infección que lleva el mismo nombre y que le autoriza un campo de acción mucho más importante.
* Elibagla renombrado de este modo será capaz de neutralizar, en una sola pasada, totalmente la infección. Luego sólo hay que reiniciar el PC y hacer un segundo scan para eliminar el resto de la infección.
* Hay que tener en cuenta que este truco funciona únicamente si el exe de Elibagla es renombrado correctamente mdelk.exe!


En Linea de comando

* Este truco está destinado principalmente a los usuarios conocedores, así como a las personas que ayudan en el foro virus/seguridad y que les será muy útil.
* El falso crack que se copia en lugar de un archivo sano tiene la particularidad de utilizar un protector de archivo: Themida.
* Este comando es capaz de revelar la presencia de archivos infectados ligados a Bagle y camuflados por este protector de archivo, abre el prompt y escribe la línea siguiente:
o findstr /S /I /M /L "Themida" C:\*.exe>>"%userprofile%\escritorio\Startvir.txt"
o El archivo Startvir.txt en el escritorio listará los archivos sospechosos encontrados, sólo tendrás que eliminar los archivos después de haber interpretado los resultados.



Existen muchos otros métodos para eliminar este gusano!

Si tienes problemas para eliminar a este gusano, el que agregado a otras infecciones puede ser muy difícil de desalojar, no dudes en poner un mensaje en el foro virus/seguridad explicando brevemente las operaciones efectuadas y los problemas que encontraste.
para los del virus bagel solo sigan las instrucciones de este link https://es.ccm.net/faq/447-como-eliminar-el-virus-beagle-bagle
Yo tengo un problema parecido, no puedo iniciar secion en windows vista, al ingresar contraseña se queda trabado:S, entro en modo a prueba de fallos, para tratar de restaurar mi sistema, (no se si he creado puntos, pero ya la habia restaurado antes), pero me dice que no tengo puntos de restauracion, como dato curioso, mi antivirus no servia:S, pero hice todos los escaneos como dicen aca, y todos salieron limpios, no se que hacer!!
Message postés
8
Date d'inscription
martes, 12 de agosto de 2008
Estatus
Miembro
Última intervención
jueves, 14 de agosto de 2008

En la web de windows no me dan solucion.
Message postés
2153
Date d'inscription
viernes, 4 de abril de 2008
Estatus
Contribuidor
Última intervención
martes, 26 de octubre de 2010
2.245
Hola

Proba con el KASPERSKY
Message postés
8
Date d'inscription
martes, 12 de agosto de 2008
Estatus
Miembro
Última intervención
jueves, 14 de agosto de 2008
>
Message postés
2153
Date d'inscription
viernes, 4 de abril de 2008
Estatus
Contribuidor
Última intervención
martes, 26 de octubre de 2010

He eliminado todos los virus del ordenador pasando el ELLIBAGLIA y el SuperAntispayware.
Pero no puedo restaurar mi sistema a un estado anterior. No´sé que se puede hacer. Espero ayuda. Gracias.
Message postés
2153
Date d'inscription
viernes, 4 de abril de 2008
Estatus
Contribuidor
Última intervención
martes, 26 de octubre de 2010
2.245 >
Message postés
8
Date d'inscription
martes, 12 de agosto de 2008
Estatus
Miembro
Última intervención
jueves, 14 de agosto de 2008

Pero tenes hecho un punto de restauracion?
Message postés
8
Date d'inscription
martes, 12 de agosto de 2008
Estatus
Miembro
Última intervención
jueves, 14 de agosto de 2008
>
Message postés
2153
Date d'inscription
viernes, 4 de abril de 2008
Estatus
Contribuidor
Última intervención
martes, 26 de octubre de 2010

Tengo muchos puntos de restauración, pero el sistema no me deja restaurar a un punto anterior.
Message postés
2
Date d'inscription
jueves, 13 de mayo de 2010
Estatus
Miembro
Última intervención
jueves, 13 de mayo de 2010

Hola,

a mi me ha pasado lo mismo, pero lo peor es que hize lo de arrancar pc a prueba de errores, y no me va pq el virus lo ha bloqueado tb..entonces no puedo ni siquiera entra en windows..

una solucion era la de restaurar el windows xp desde el cd rom, pero me pide la contraseña de administrador y no me la se!

alguien sabe algo más para solucionarlo??

muchas gracias