La mayoría de las páginas de virus comerciales recomiendan reiniciar Windows en modo seguro para poder ejecutar herramientas que remueven virus ó propiamente un antivirus. Sin embargo, en específico el virus que se trata en este post ataca el registro de Windows borrando la información que requiere el sistema para poder reiniciar en modo seguro, de hecho, la limpia del virus no es lo complicado sino el poder hacer que la máquina pueda iniciar en modo seguro.
¿Cómo saber si tengo el Bagle.@@?
Abra el Administrador de tareas (Task Manager) [CTRL+SHIFT+ESC] y busque los siguientes nombres en la pestaña de Procesos.
• Hldrrr.exe
• Flec###.exe (# puede ser cualquier dígito)
• Mdelk.exe
• Wintems.exe
Otra forma de saber con precisión qué variante del Bagle se tiene es realizar un escaneo en línea con un antivirus comercial (se recomienda si la conexión a Internet es rápida, de lo contrario este proceso puede ser algo tardado) por mencionar algunos, Panda, Kaspersky, etc.
En caso de que haya encontrado uno o más de estos procesos seguramente su máquina está contagiada con alguna de las variantes del Bagle. Se recomienda tener acceso a una máquina limpia de virus para la descarga de las herramientas que a continuación se describen ya que el virus es tan efectivo que detecta a la mayoría de los archivos ejecutables que se cargan en memoria y cuyo objetivo es la eliminación del virus, en algunos casos daña al archivo ejecutable ó en otros simplemente no permite su ejecución.
De igual manera se recomienda el uso de una memoria flash USB, SD, miniSD, microSD, MMC, etc. Que cuente con el seguro de ‘sólo lectura’ para poder ejecutar las herramientas desde la memoria y que el virus no dañe a los archivos ejecutables.
Herramientas empleadas
• http://www.google.com.mx/
• ComboFix.exe -> Renombrar este ejecutable, a mí me funcionó « fc.exe »
• EliBaglA.exe
Si Usted tiene problemas para iniciar Windows en modo seguro ejecute desde el paso 1, de lo contrario puede empezar desde el paso 4.
Pasos para restaurar el inicio en modo seguro de Windows
1. Desde una máquina no infectada acceda al registro de Windows [tecla WINDOWS + R] y tecleé “regedit”
[Usuario básico] Googlear “Acceder al registro de Windows”
Exporte a un archivo .REG los valores de la llave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
[Usuario básico] Googlear “Exportar valores del registro de Windows”
Copie el archivo .reg a su memoria flash.
2. Cierre todos sus programas y ejecute ComboFix (renombrado previamente ya que el virus lo detecta por su nombre e impide su ejecución) desde la memoria flash con el seguro de sólo lectura. Durante el proceso la barra de tareas desaparecerá por unos momentos, lo cual es normal, se recomienda no hacer nada más.
En mi caso mi máquina estaba tan infectada que sólo removió algunos de los archivos infectados y se produjo una pantalla azul (blue screen) de error de volcado en memoria. Sin embargo, fue suficiente para realizar el paso 3.
3. Haga doble clic en el archivo .REG desde su memoria flash para insertar/importar los valores relacionados con el inicio de Windows en modo seguro.
Verifique que los valores hayan sido insertados, abra el REGEDIT y consulte si existe la llave "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot"
Uno de los ataques del Bagle consiste en borrar continuamente estos valores del registro de Windows. Si usted no encontró los valores insertados el virus sigue activo por lo que será necesario realizar nuevamente el paso 2.
4. Si el paso anterior fue llevado con éxito, reinicie Windows en modo seguro (presionar F5 o F8 durante el arranque) y seleccione “Iniciar Windows en modo seguro”, se recomienda seleccionar con Funciones de red aunque es opcional.
[Usuario básico] Googlear “Arranque de Windows en modo seguro”
5. Ejecute la herramienta EliBaglA.exe, en el proceso la máquina se reiniciará.
6. Listo, se recomienda después de la realización de los pasos anteriores realizar un escaneo en línea de cualquier antivirus comercial (Panda, Kaspersky, por sólo mencionar los que probé)
En mi caso, el antivirus que tenía “Trend Micro OfficeScan Client” fue dañado y tuve que reinstalarlo, otro de los antivirus que recomiendo por su alta efectividad es el Avast!.
Espero haber sido de su ayuda y les recuerdo que estos pasos son los que ejecuté para remover la variante Bagle.RP, otras variantes pueden tener otros pasos para su limpieza. Asimismo, estoy abierto a cualquier corrección, crítica o duda que ustedes pudieran tener.
Saludos.
Rulo.
9 comments:
Muchísimas gracias amigo, por estos pasos,han salvado mi maquina de ser formateada.
Tambien le hice los siguientes pasos.
1. Bajar y ejecutar la herramienta de elminación de Software Malicioso de Windows. Ejecutar la busqueda extensa.
2.Ejecutar NO-Adware
Estos dos terminan de elimnar el gusano.
Ahora bien hay que buscar y bajar de nuevo el antivirus que desea instalar. Pues el gusano daña el setup del instalador del antivirus
Una vez instalado el antivirus, escanear de nuevo la maquina por aquello de las moscas.
Gracias de nuevo por tu ayuda tuzo.
Hola amigo, muchas gracias por tu comentario, qué bien que la información haya sido de tu ayuda. Tienes razón, no está por demás hacer un doble scanneo con el antivirus para verificar que efectívamente haya sido eliminado el virus por completo.
Saludos.
Hola.Creo que lo comentas es correcto para maquinas con windows xp pero no sirve con windows server 2003...Combofix no funciona con este tipo de servidores.
¿alguna ayuda?
Muchas gracias
Gracias por tu ayuda.
En mi caso, el Combofix me eliminó por completo el virus Bagle.RP.
Muchas gracias. Tenía el virus y siguiendo tus pasos todo ha ido perfectamente. Gracias de verdad, gente como tú hace de internet un lugar más agradable
Gracias seguí tus pasos y fue todo correcto. Eliminó el virus.
Gracias.
@José Manuel, @jjcastrillo, @Alfredo Qué bueno que les haya sido útil la información! Para Anonymous, no tengo información en Windows Server 2003, lo siento. Saludos!
Hola, muy interesante el articulo, muchos saludos desde Argentina!
Interesante articulo, estoy de acuerdo contigo aunque no al 100%:)
Post a Comment