EL VIRUS NO ME DEJA EJECUTAR ELISTARA (SOLUCIONADO)

[msc hotline sat]

El ELISTARA que nos has enviado funciona perfectamente en nuEstras máquinas...



El Rootkit Detective no encuentra ningun fichero corriendo en proceso oculto...



VayA, por Dios ! Tanto buscar y veo que estas usando AVAST, que tiene falso positivos y debe detectar el ELISTARA como malware e impide su ejecucion...



Desactiva este antivirus o arranca en modo seguro para que no se cargue, y prueba de nuevo el ELISTARA y nos informas.



saludos



ms, 22-4-2009

[avejorro]

[b]No, este elistara lo volvi a descargar posteriormente y machaque al otro sin querer.

Si tengo malware, pero no sé quitarlo, el pc va lentisimo.

Mi avast tolera a elistara porque lo tengo configurado para ello.

Aqui os dejo un informe de un programa argentino llamado TROJAN EXPLORER, el cual me ha permitido pasarlo en linea pero sin la posibilidad de poderlo desinfectar.

Como vosotros bien decis se trata de varios malware residentes

Salu2.[/b]



-------------------------------------------------------------INFORME-----------------------------------------------------------------------------

-------------------------------------------------------------------------------

Reporte - TROYAN EXPLORE® 7.27 Demo - Report

-------------------------------------------------------------------------------

3 >SPY/AD - 2 >VIRUS - EAP> No - SRI> Scan Ultra - TMR> No - SFP> 2

-------------------------------------------------------------------------------

A/NewN

C:\ARCHIVOS DE PROGRAMA\WINACE\HTML\?<--Spy/Ad/PUA

C:\ARCHIVOS DE PROGRAMA\WINACE\HTML\?<--Spy/Ad/PUA

C:\ARCHIVOS DE PROGRAMA\WINACE\?<--Spy/Ad/PUA

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA

-------------------------------------------------------------------------------

A/AdG

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT\EXTRAS\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\BRICOPACKS\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\BRICOPACKS\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\?<--Spy/Ad/PUA/Gen

C:\DOCUMENTS AND SETTINGS\ANGEL\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\WINDOWS DESKTOP SEARCH\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\SYSTEM32\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\CONDUIT\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

-------------------------------------------------------------------------------

MalG

C:\WINDOWS\SYSTEM32\?<--Virus/Trj/Bot/Gen

C:\WINDOWS\SYSTEM32\?<--Virus/Trj/Bot/Gen

-------------------------------------------------------------------------------

HookG

C:\WINDOWS\SYSTEM32\?<--Virus/Trj/PWS/Gen

-------------------------------------------------------------------------------

A/DLR

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

-------------------------------------------------------------------------------

REPARACIÓN MANUAL - MANUALLY FIX

Ejecutar en Modo Seguro - Execute in Safe Mode

-------------------------------------------------------------------------------

Tecnologías TROYAN EXPLORE® TROYEX®



EAP (Eliminación Automática Posible) - SRI (Sistema Revisión Inteligente)

TMR (Tratamiento Malware Residente) - SFP (Solución Falsos Positivos)

CPM (Control Procesos en Memoria) - DEA (Detección Elementos Agregados)

PUR (Protección Unidades Removibles) - MP (Modo Protegido)

MUR (Malware Unidades Removibles/Red) - PLuScan® - DEA PLuS® - ScanTemp®

-------------------------------------------------------------------------------

La interpretacion y utilizacion del presente reporte

quedan bajo exclusiva responsabilidad de los usuarios.

Report usage is exclusive responsability of end users.

-------------------------------------------------------------------------------

Troyan Explore® - http://www.troyanexplore.com.ar info@troyanexplore.com.ar - TROYEX®

Todos los derechos y propiedad intelectual de

David Farji y Federico Carbonell - Ley Nº 11723

©2001-2009 BUENOS AIRES sistemas

[avejorro]

[b]

Aqui os dejo un informe de un programa argentino llamado TROJAN EXPLORER, el cual me ha permitido pasarlo en linea pero sin la posibilidad de poderlo desinfectar.

Como vosotros bien decis se trata de varios malware residentes

Salu2.[/b]



-------------------------------------------------------------INFORME-----------------------------------------------------------------------------

-------------------------------------------------------------------------------

Reporte - TROYAN EXPLORE® 7.27 Demo - Report

-------------------------------------------------------------------------------

3 >SPY/AD - 2 >VIRUS - EAP> No - SRI> Scan Ultra - TMR> No - SFP> 2

-------------------------------------------------------------------------------

A/NewN

C:\ARCHIVOS DE PROGRAMA\WINACE\HTML\?<--Spy/Ad/PUA

C:\ARCHIVOS DE PROGRAMA\WINACE\HTML\?<--Spy/Ad/PUA

C:\ARCHIVOS DE PROGRAMA\WINACE\?<--Spy/Ad/PUA

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA

-------------------------------------------------------------------------------

A/AdG

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT\EXTRAS\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\BRICOPACKS\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\BRICOPACKS\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\?<--Spy/Ad/PUA/Gen

C:\DOCUMENTS AND SETTINGS\ANGEL\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\WINDOWS DESKTOP SEARCH\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\WINDOWS\SYSTEM32\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\CONDUIT\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

C:\ARCHIVOS DE PROGRAMA\?<--Spy/Ad/PUA/Gen

-------------------------------------------------------------------------------

MalG

C:\WINDOWS\SYSTEM32\?<--Virus/Trj/Bot/Gen

C:\WINDOWS\SYSTEM32\?<--Virus/Trj/Bot/Gen

-------------------------------------------------------------------------------

HookG

C:\WINDOWS\SYSTEM32\?<--Virus/Trj/PWS/Gen

-------------------------------------------------------------------------------

A/DLR

C:\ARCHIVOS DE <INTERCEPTADO https://foros.zonavirus.com/viewtopic.php?f=1&t=17044 >TROYEX®

Todos los derechos y propiedad intelectual de

David Farji y Federico Carbonell - Ley Nº 11723

©2001-2009 BUENOS AIRES sistemas

[msc hotline sat]

Pues no usamos este programa, pero no nos gusta si el informe lo hace sin indicar los ficheros donde detecta los malwares, asi no nos sirve.



Mira si los puedes saber desde otra parte del informe y nos los envias para analizar, y mientras añade la extension .VIR a cada uno de estos ficheros en el ordenador, para que no se pongan en uso a partir del proximo reinicio.



saludos



ms, 22-4-2009

[avejorro]

[b]A mi tampoco me gusta un programa que te dice lo que hay, pero no donde.

Ya no sé donde mirar para buscar programas y limpiar el [color=#BF4040]arranque del sistema[/color] o la pc en general.

Vosotros soys los mejores (con diferencia) y nunca me habeis fallado a la hora de limpiar mi pc, se que es complicado por eso no he escatimado en esfuerzos para intentar daros mas datos.

Hay otros programas que me han aconsejado que repare windows xp, me han dicho que no se pierden los datos almacenados, pero no se si perderia los correos y programas instalados.

Por ultimo, ¿Me podiais aconsejar algun programa que limpie de virus al inicio antes de arrancar xp?

A ver si este log os vale y tengo suerte

Mil gracias[/b]



---------------------------------------------------------------- INFORME ------------------------------------------------------------------------



Malwarebytes' Anti-Malware 1.36

Versión de la Base de Datos: 2028

Windows 5.1.2600 Service Pack 3



23/04/2009 8:46:15

mbam-log-2009-04-23 (08-45-38).txt



Tipo de examen : Examen Completo (C:\|G:\|H:\|I:\|K:\|)

Objetos examinados: 419031

Tiempo transcurrido: 9 hour(s), 50 minute(s), 49 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 3

Valores del Registro Infectados: 0

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 7

Ficheros Infectados: 22



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

HKEY_CLASSES_ROOT\BitDownload (Trojan.Lop) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\glaide32 (Rootkit.Rustok) -> No action taken.



Valores del Registro Infectados:

(No se han detectado elementos maliciosos)



Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)



Carpetas Infectadas:

C:\Archivos de programa\Live_TV (Adware.Agent) -> No action taken.

C:\Documents and Settings\LocalService\Datos de programa\wsnpoem (Trojan.Agent) -> No action taken.

C:\Documents and Settings\NetworkService\Datos de programa\wsnpoem (Trojan.Agent) -> No action taken.

C:\Archivos de programa\BitDownload (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\Skins (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\Support (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\ZM (Trojan.Lop) -> No action taken.



Ficheros Infectados:

C:\Documents and Settings\Angel\Mis documentos\Downloads\Live-Player_setup.exe (Adware.Navipromo) -> No action taken.

C:\WINDOWS\Radeon Omega Drivers v3.8.360 Uninstall.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\Traducción de Pando al Español\uninstall.exe (Trojan.Agent) -> No action taken.

C:\Archivos de programa\Live_TV\INSTALL.LOG (Adware.Agent) -> No action taken.

C:\Documents and Settings\LocalService\Datos de programa\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.

C:\Documents and Settings\NetworkService\Datos de programa\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.

C:\Archivos de programa\BitDownload\BitDownload.exe (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\BitDownload.TRC (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\BitDownload_1.TRC (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\settings.ini (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\settings.stp (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\SkinCrafterDll.dll (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\TorrentManager.dll (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\unins000.dat (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\unins000.exe (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\Skins\Stylish.skf (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\Support\default.htm (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\Support\dots.gif (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\Support\logo.jpg (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\Support\porttest_error.htm (Trojan.Lop) -> No action taken.

C:\Archivos de programa\BitDownload\Support\porttest_start.htm (Trojan.Lop) -> No action taken.

C:\Archivos de programa\setup.exe (Rogue.Installer) -> No action taken.

[msc hotline sat]

Como te hemos dicho, nos nos sirve este informe.



Lanza este AV ONLINE y nos posteas el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





saludos



ms, 23-4-2009

[avejorro]

[b]Por fin,,,

Despues de muchos intentos de escanear mi pc (COLGANDOSE UNA Y OTRA VEZ) y a una lentitud desesperante, (ha llegado a estar escaneando hasta 47 horas seguidas), bueno,,,, aqui os dejo el informe que me ha generado KASPERSKY, sangre ha costado.

Espero que os sirva.

Un saludo y mil gracias.[/b]









KASPERSKY ONLINE SCANNER 7 REPORT

Wednesday, April 29, 2009

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Tuesday, April 28, 2009 00:10:16

Records in database: 2084595





Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes



Scan area My Computer

A:\

C:\

D:\

E:\

F:\

G:\

N:\

O:\

R:\



Scan statistics

Files scanned 222812

Threat name 7

Infected objects 10

Suspicious objects 0

Duration of the scan 23:59:05



File name Threat name Threats count

C:\Documents and Settings\Angel\.housecall6.6\Quarantine\007.part.bac_a02884 Infected: P2P-Worm.Win32.Kapucen.b 1



C:\Documents and Settings\Angel\.housecall6.6\Quarantine\007.part.bac_a03480 Infected: P2P-Worm.Win32.Kapucen.b 1



C:\Documents and Settings\Angel\Escritorio\OPTIMIZACION y LIMPIEZA DEL PC\ELITRIIP.%D8C%D8CB%D8%D8I.EXE Infected: Trojan-Downloader.Win32.Agent.bmvz 1



C:\Documents and Settings\Angel\Mis documentos\Downloads\kf151.zip Infected: not-a-virus:PSWTool.Win32.RAS.g 1



C:\Documents and Settings\Angel\Mis documentos\Downloads\kf151.zip Infected: not-a-virus:PSWTool.Win32.RAS.a 1



E:\AUTOPLAY\DOCS\DRIVERS\CODECPACKELISOFT140.EXE Infected: not-a-virus:AdWare.Win32.Gator.4104 1



E:\AUTOPLAY\DOCS\VARIAS\MIRC\MIRC621.EXE Infected: not-a-virus:Client-IRC.Win32.mIRC.621 1



E:\AUTOPLAY\DOCS\VARIAS\REMOTE\RADMIN22ES.EXE Infected: not-a-virus:RemoteAdmin.Win32.RAdmin.22 3



The selected area was scanned.

[msc hotline sat]

Pues el que persevera, logra !



Si bien los dos primeros son KAPUCE (o PUCE), ya en cuarentena (aparcados) y que simplemente deben borrarse, y el tercero es un falso positivo ya conocido con el ELITRIIP, vemos malwares en los dos ficheros siguientes:



C:\Documents and Settings\Angel\Mis documentos\Downloads\kf151.zip



E:\AUTOPLAY\DOCS\DRIVERS\CODECPACKELISOFT140.EXE





y en los 2 finales vemos aplicaciones de IRC y de control remoto que preferiblemente debería desisntalar, por el riesgo que suponen, si bien no son propiamente virus (solo aplicaciones potencialmente peligrosas):





E:\AUTOPLAY\DOCS\VARIAS\MIRC\MIRC621.EXE



E:\AUTOPLAY\DOCS\VARIAS\REMOTE\RADMIN22ES.EXE







Envienos estos 4 ficheros :



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 29-4-2009

[avejorro]

Esta mañana os he enviado los archivos solicitados.

Salu2.

[msc hotline sat]

Recibidos los 4 ficheros. Una vez instalados y analizados, ya se eliminan los que hay maliciosos y los otros dos quedan a voluntad del usuario... :



El Codepak genera un Gator ya controlado y eliminado por el ELISTARA



el kf151 genera un keyfinder igualmente controlado por el ELISTARA



el MIRC es un programa de IRC, si quiere evitar riesgos eliminelo



y el de administracion remota, mas de lo mismo, a su criterio, mejor borrarlo.





Y dando por solucionado el Tema, procedemos a cerrarlo





saludos



ms, 30-4-2009