Saltar al contenido
Tutoriales

Eliminar virus Bagle: síntomas, métodos de desinfección y herramientas recomendadas

Por Publicado el agosto 28, 2023

Síntomas provocados por infección

Al ser instalado, el gusano despliega una ventana engañosa que solicita al usuario que seleccione un archivo para abrir. Sin embargo, esto es falso, ya que en realidad no instalará un virus en la PC.

Su primer paso es infectar un archivo limpio en el inicio. Después de leer el registro, elimina la clave de arranque seguro que permite iniciar en modo seguro. También desactiva el funcionamiento del antivirus y el firewall, impidiendo su reinstalación.

Rápidamente, los usuarios notarán que la mayoría de los programas de seguridad ya no pueden ejecutarse y aparecerá el siguiente mensaje de error: Los archivos de infección de Bagle son: wintems.exe, hldrrr.exe, srosa.sys, srosa2.sys, winfilse.exe, flec006.exe, mdelk.exe, winupgro.exe, wfsintwq.sys, 111wfs1intwq.sys, 11s11ro1s1a2.sys, …

¡Cuidado! No reinicie el equipo nunca en modo seguro siguiendo este comando, ya que existe el riesgo de que Windows se reinicie de forma indefinida sin detenerse.

Si está utilizando Vista, desactive la función durante el proceso de limpieza. Si está instalado (residencial de Spybot), desactívelo, ya que puede interferir con la desinfección. Luego, haga clic en «Modo» y seleccione «Modo avanzado». A la izquierda, haga clic en «Herramientas» y luego en «Residencial». Desactive la opción «TeaTimer Resident» y cierre Spybot.

Métodos de desinfección

Reparación del acceso en modo seguro

Puede comenzar a solucionar el acceso en modo seguro descargando esta utilidad o alguno de estos archivos * .reg, dependiendo de la versión de Windows que tenga.

FindyKill

Opción 1: Descargue e instale FindyKill y conecte dispositivos externos a su computadora (por ejemplo, una memoria USB o un disco duro externo) que puedan haber sido infectados sin abrirlos.

Ejecute FindyKill haciendo doble clic en el acceso directo ubicado en el escritorio (en Vista, haga clic derecho en el acceso directo y seleccione «Ejecutar como administrador»). Seleccione la opción 1 (Buscar) y espere a que la herramienta complete su trabajo. A continuación, comparta el informe FindyKill.txt que el programa generará en un foro.

Nota: El informe FindyKill.txt se guardará en la raíz del disco (C: FindyKill.txt).

Opción 2: Conecte dispositivos externos problemáticos a su computadora (por ejemplo, una memoria USB o un disco duro externo) sin abrirlos. Haga doble clic en el acceso directo FindyKill ubicado en el escritorio (en Vista, haga clic derecho en el acceso directo FindyKill y seleccione «Ejecutar como administrador») y elija la opción 2 (Remoción). Su escritorio desaparecerá y su computadora se reiniciará. Al reinicio, FindyKill escaneará su computadora. Deje que el proceso se complete y luego comparta el informe FindyKill.txt que se mostrará en el escritorio en un foro.

Nota: El informe FindyKill.txt se guardará en la raíz del disco (C: FindyKill.txt).

Combofix

Guarde el enlace de destino como. Elija el destino de trabajo en el campo «Nombre de archivo». Cambie el nombre de ComboFix.exe a .exe y guarde.

¡Tenga cuidado! Es necesario cambiar el nombre, de lo contrario, aparecerá el mensaje «ComboFix.exe es una aplicación win32 no válida» y la reparación será ineficaz. Cierre todas las aplicaciones y programas y desconéctese de Internet.

Haga doble clic en el archivo .exe para ejecutar el programa de reparación (en Vista, necesitará «Ejecutar como administrador»). Acepte la solicitud e instale la Consola de recuperación (en XP). El informe se creará en la raíz del disco: C: Combofix.txt.

Malwarebytes

Esta destacada herramienta posee la capacidad de detectar por completo la infección del virus Bagle. Sin embargo, se requiere el uso previo de Elibagla para neutralizar el archivo infectado ubicado en 04 (HijackThis), o en caso de haber eliminado previamente el archivo 04. Puede encontrar el tutorial aquí.

Recomendaciones prácticas

Comando útil para XP / Vista

Esta recomendación está dirigida principalmente a usuarios expertos y aquellos que brindan ayuda en los foros de Virus / Seguridad. El archivo crack falso, que reemplaza a otro archivo, utiliza un protector de archivos llamado Themida. El siguiente comando permite identificar archivos infectados asociados a Bagle y ocultados por este protector de archivos. Abra la ventana de comandos e ingrese la siguiente línea de comando:

El archivo Startvir.txt que se creará en la raíz, «C: Startvir.txt», listará los archivos sospechosos encontrados. Luego de analizar los resultados, simplemente elimine los archivos.

Verificación

Si desea realizar un escaneo en línea, puede utilizar, por ejemplo, Kaspersky.

Deshabilitar / reactivar la restauración del sistema

Para limpiar la restauración del sistema, es necesario deshabilitarlo y luego reactivarlo, ya que los puntos de restauración podrían estar infectados (por ejemplo, por Bagle). Aquí se encuentra la guía para XP y para Vista.

En caso de tener dificultades para eliminar este gusano que, además de otras infecciones, puede resultar muy difícil de eliminar, le recomendamos que publique un mensaje en el foro Virus / Seguridad detallando brevemente las operaciones realizadas y los problemas encontrados.

Artículos relacionados