PUBLICIDAD DE KALIA Y CALGONIT Y DISMINUCIÓN DE VOLUMEN DEL PC (SOLUCIONADO)

Cerrado
koeman09
Mensajes: 13
Registrado: 28 Jun 2010, 19:05

Re: PUBLICIDAD DE KALIA Y CALGONIT Y DISMINUCIÓN DE VOLUMEN DEL PC

Mensaje por koeman09 » 30 Jun 2010, 20:23

De acuerdo,ya he comprimido los archivos infectados y los he enviado a ustedes por el metodo que pone.Solo una pega,en lugar de comprimir con winzip,lo hice con winrar,pero comprimí el fichero infectado en formato .zip,asique supongo que es lo mismo no?

Tengo una duda,¿lo que ocurria es uqe estos dos archivos

C:\System Volume Information\Microsoft\services.exe

C:\System Volume Information\Microsoft\smss.exe



estaban infectados?

es decir,mi pc seguira funcionando correctamente aunque prescinda de estos ficheros?es necesario que elimine estos ficheros del pc?o por el hecho de ser .VIR es como si "no existieran" y es indiferente que los elimine o no?



Mil gracias



Conteste rapido

koeman09
Mensajes: 13
Registrado: 28 Jun 2010, 19:05

Re: PUBLICIDAD DE KALIA Y CALGONIT Y DISMINUCIÓN DE VOLUMEN DEL PC

Mensaje por koeman09 » 30 Jun 2010, 20:57

Malas noticias.



Resulta que al reiniciar el pc se han vuelto a generar de nuevo los ficheros



C:\System Volume Information\Microsoft\service.exe

C:\System Volume Information\Microsoft\sssms.exe



estos se encontraban en la carpeta



C:\System Volume Information\Microsoft



junto con los dos ficheros modificados anteriormente



C:\System Volume Information\Microsoft\service.exe.VIR

C:\System Volume Information\Microsoft\ssms.exe.VIR



y por supuesto,el problema persiste.



¿que me recomiendan?

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: PUBLICIDAD DE KALIA Y CALGONIT Y DISMINUCIÓN DE VOLUMEN DEL PC

Mensaje por msc hotline sat » 01 Jul 2010, 06:22

Dentro de unas horas, en SATINFO, analizaremos los ficheros muestra e informaremos del resultado



saludos



ms, 1-7.-2010

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: PUBLICIDAD DE KALIA Y CALGONIT Y DISMINUCIÓN DE VOLUMEN DEL PC

Mensaje por msc hotline sat » 01 Jul 2010, 10:26

Analizados los ficheros, resultan ser malwares, como era de esperar, segun se ve en el preanalisis de cada uno de ellos:





Scanned time : 2010/07/01 10:07:49 (CEST)

Scanner results: 39% Escaner (14/36) encontró infección

File Name : [b]smss.zip[/b]

File Size : 25915 byte

File Type : Zip archive data, at least v2.0 to extract

MD5 : 2ec5779fdf27cebf022e222da2b78129

SHA1 : de5e034713d4970758b12ff0f5be95c8bbbfc825





Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 5.0.0.13 20100701013121 2010-07-01 5.39 Trojan-Clicker.Win32.Cycler!IK

AhnLab V3 2010.06.18.01 2010.06.18 2010-06-18 1.35 -

AntiVir 8.2.4.2 7.10.8.236 2010-06-30 0.27 TR/Click.Cycler.ajun.1

Antiy 2.0.18 20100701.4813005 2010-07-01 0.02 -

Arcavir 2009 201006281601 2010-06-28 0.01 -

Authentium 5.1.1 201006302128 2010-06-30 1.39 -

AVAST! 4.7.4 100630-1 2010-06-30 0.01 -

AVG 8.5.793 271.1.1/2974 2010-07-01 0.25 Downloader.Generic9.CETS

BitDefender 7.90123.6355490 7.32524 2010-07-01 3.94 -

ClamAV 0.96.1 11301 2010-07-01 0.02 -

Comodo 3.13.579 5271 2010-06-30 0.89 -

CP Secure 1.3.0.5 2010.07.01 2010-07-01 0.05 -

Dr.Web 5.0.2.3300 2010.07.01 2010-07-01 8.52 -

F-Prot 4.4.4.56 20100630 2010-06-30 1.29 -

F-Secure 7.02.73807 2010.07.01.02 2010-07-01 0.14 Trojan-Clicker.Win32.Cycler.ajun [AVP]

Fortinet 4.1.133 12.102 2010-06-30 0.17 -

GData 21.439/21.160 20100630 2010-06-30 6.01 Trojan-Clicker.Win32.Cycler.ajun [Engine:A]

ViRobot 20100630 2010.06.30 2010-06-30 0.36 -

Ikarus T3.1.01.84 2010.07.01.76173 2010-07-01 6.95 Trojan-Clicker.Win32.Cycler

JiangMin 13.0.900 2010.07.01 2010-07-01 1.30 -

Kaspersky 5.5.10 2010.07.01 2010-07-01 0.08 Trojan-Clicker.Win32.Cycler.ajun

KingSoft 2009.2.5.15 2010.7.1.12 2010-07-01 0.80 -

McAfee 5400.1158 6029 2010-06-30 17.32 Downloader-BZH

Microsoft 1.5902 2010.07.01 2010-07-01 7.04 -

Norman 6.05.10 6.05.00 2010-06-30 6.01 W32/Suspicious_Gen2.BFOIJ

Panda 9.05.01 2010.06.30 2010-06-30 1.79 -

Trend Micro 9.120-1004 7.278.02 2010-06-30 0.03 -

Quick Heal 10.00 2010.06.30 2010-06-30 1.61 Win32.Trojan-Clicker.Cycler.ajun.4

Rising 20.0 22.54.02.04 2010-06-30 1.39 -

Sophos 3.09.0 4.55 2010-07-01 3.61 -

Sunbelt 3.9.2426.2 6524 2010-06-29 8.15 Trojan.Win32.Generic!BT

Symantec 1.3.0.24 20100630.004 2010-06-30 0.10 W32.Unruy!gen1

nProtect 20100629.01 8851204 2010-06-29 8.14 -

The Hacker 6.5.2.0 v00306 2010-06-29 0.35 Trojan/Clicker.Cycler.ajun

VBA32 3.12.12.5 20100630.0947 2010-06-30 3.00 -

VirusBuster 4.5.11.10 10.126.111/20423882010-06-30 2.35 Trojan.CL.Cycler.DI



y el otro :





Scanned time : 2010/07/01 10:13:25 (CEST)

Scanner results: 39% Escaner (14/36) encontró infección

File Name : [b]services.exe.VIR[/b]

File Size : 24764 byte

File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : 135d3b6d5ee56694b8ad90fc3766c079

SHA1 : 431515b144a2d71999b179ed732161748e11a5f9





Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 5.0.0.13 20100701013121 2010-07-01 5.76 Trojan-Clicker.Win32.Cycler!IK

AhnLab V3 2010.06.18.01 2010.06.18 2010-06-18 1.96 -

AntiVir 8.2.4.2 7.10.8.236 2010-06-30 0.33 TR/Click.Cycler.ajun.1

Antiy 2.0.18 20100701.4813005 2010-07-01 0.02 -

Arcavir 2009 201006281601 2010-06-28 0.01 -

Authentium 5.1.1 201006302128 2010-06-30 1.39 -

AVAST! 4.7.4 100630-1 2010-06-30 0.01 -

AVG 8.5.793 271.1.1/2974 2010-07-01 0.24 Downloader.Generic9.CETS

BitDefender 7.90123.6355490 7.32524 2010-07-01 3.94 -

ClamAV 0.96.1 11301 2010-07-01 0.01 -

Comodo 3.13.579 5271 2010-06-30 1.12 -

CP Secure 1.3.0.5 2010.07.01 2010-07-01 0.05 -

Dr.Web 5.0.2.3300 2010.07.01 2010-07-01 9.52 -

F-Prot 4.4.4.56 20100630 2010-06-30 1.29 -

F-Secure 7.02.73807 2010.07.01.03 2010-07-01 8.64 Trojan-Clicker.Win32.Cycler.ajun [AVP]

Fortinet 4.1.133 12.102 2010-06-30 0.18 -

GData 21.439/21.160 20100630 2010-06-30 12.14 Trojan-Clicker.Win32.Cycler.ajun [Engine:A]

ViRobot 20100630 2010.06.30 2010-06-30 0.84 -

Ikarus T3.1.01.84 2010.07.01.76173 2010-07-01 6.97 Trojan-Clicker.Win32.Cycler

JiangMin 13.0.900 2010.07.01 2010-07-01 2.18 -

Kaspersky 5.5.10 2010.07.01 2010-07-01 0.08 Trojan-Clicker.Win32.Cycler.ajun

KingSoft 2009.2.5.15 2010.7.1.12 2010-07-01 0.99 -

McAfee 5400.1158 6029 2010-06-30 18.34 Downloader-BZH

Microsoft 1.5902 2010.07.01 2010-07-01 6.96 -

Norman 6.05.10 6.05.00 2010-06-30 6.01 W32/Suspicious_Gen2.BFOIJ

Panda 9.05.01 2010.06.30 2010-06-30 3.93 -

Trend Micro 9.120-1004 7.278.02 2010-06-30 0.03 -

Quick Heal 10.00 2010.06.30 2010-06-30 3.09 Win32.Trojan-Clicker.Cycler.ajun.4

Rising 20.0 22.54.02.04 2010-06-30 1.35 -

Sophos 3.09.0 4.55 2010-07-01 3.38 -

Sunbelt 3.9.2426.2 6524 2010-06-29 8.26 Trojan.Win32.Generic!BT

Symantec 1.3.0.24 20100630.004 2010-06-30 0.05 W32.Unruy!gen1

nProtect 20100629.01 8851204 2010-06-29 8.46 -

The Hacker 6.5.2.0 v00306 2010-06-29 0.40 Trojan/Clicker.Cycler.ajun

VBA32 3.12.12.5 20100630.0947 2010-06-30 4.07 -

VirusBuster 4.5.11.10 10.126.111/20423882010-06-30 2.35 Trojan.CL.Cycler.DI



Como se ve, McAfee indica que es un Downloader, y efectivamente abre en segundo plano el I.E. para descargar lo que haya en el web a donde accede, lo cual puede ser distinto en cada visita, claro.



A partir del ELISTARA 21.28 de hoy ya se controlará este nuevo malware como Clicker, que es el nombre que usan varios antivirus para identificarlo




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]




A partir de las 15 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 1-7-2010

koeman09
Mensajes: 13
Registrado: 28 Jun 2010, 19:05

Re: PUBLICIDAD DE KALIA Y CALGONIT Y DISMINUCIÓN DE VOLUMEN DEL PC

Mensaje por koeman09 » 01 Jul 2010, 22:42

Muchas gracias por tomarse la molestia de analizar los datos.

¿que debo hacer ahora para poner fin al problema?

es que he enviado el mensaje para descargar el Elimover pero no me han enviado el codigo para descargar dicho programa.

¿Podrian comprobar que efectivamente he enviado el mensaje y mandarme el codigo de descarga?

¿Existe otra manera de acabar co el problema?



espero su respuesta



Muchas gracias

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: PUBLICIDAD DE KALIA Y CALGONIT Y DISMINUCIÓN DE VOLUMEN DEL PC

Mensaje por lucl » 01 Jul 2010, 22:50

Tienes que descargarte elistara y pegarnos el log que te dejara en C infosat.txt



http://www.zonavirus.com/descargas/descargar-elistara.asp



y sobre la incidencia con la descarga entra aqui





http://www.pymsolutions.com/soporte-sms-premium.asp





saludos.

koeman09
Mensajes: 13
Registrado: 28 Jun 2010, 19:05

Re: PUBLICIDAD DE KALIA Y CALGONIT Y DISMINUCIÓN DE VOLUMEN DEL PC

Mensaje por koeman09 » 01 Jul 2010, 23:41

Ya he analizado el pc con el Elistara y he obtenido el siguiente reporte:



(1-7-2010 20:59:20 (GMT))

EliStartPage v21.28 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\REGEDIT.COM --> Eliminado

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Eliminada Carpeta "%WinSys%\Service"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(1-7-2010 21:06:11 (GMT))

EliStartPage v21.28 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\Trend Micro\HiJackThis\backups\BACKUP-20100626-195749-271.DLL --> Eliminado, TBConduit(tb)

C:\System Volume Information\Microsoft\SERVICES.EXE --> Acceso Denegado, Clicker.Cycler.AJUN (Reiniciar para Completar la Limpieza)

C:\System Volume Information\Microsoft\SERVICES.VIR.EXE --> Eliminado, Clicker.Cycler.AJUN

C:\System Volume Information\Microsoft\SMSS.EXE --> Acceso Denegado, Clicker.Cycler.AJUN (Reiniciar para Completar la Limpieza)

C:\System Volume Information\Microsoft\SMSS.VIR.EXE --> Eliminado, Clicker.Cycler.AJUN

C:\Toshiba\Drivers\Sound\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\oemdrv\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 4149

Nº Total de Ficheros: 69883

Nº de Ficheros Analizados: 15998

Nº de Ficheros Infectados: 8

Nº de Ficheros Limpiados: 6



Como puede observarse,el Elistara ha detectado 8 ficheros infectados pero 2 de ellos no han sido eliminados.

Me salía un mensaje que decia que estos se eliminarian al reiniciar el pc;sin embargo,despues de reiniciar hice un segundo analisis y estos archivos seguian.



Este es el reporte del Elistara de ese segundo analisis:



(1-7-2010 21:32:18 (GMT))

EliStartPage v21.28 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



(1-7-2010 21:34:07 (GMT))

EliStartPage v21.28 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\System Volume Information\Microsoft\SERVICES.EXE.VIR.VIR --> Acceso Denegado, Clicker.Cycler.AJUN (Reiniciar para Completar la Limpieza)

C:\System Volume Information\Microsoft\SMSS.EXE.VIR.VIR --> Acceso Denegado, Clicker.Cycler.AJUN (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 4186

Nº Total de Ficheros: 70593

Nº de Ficheros Analizados: 16164

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 0



¿como debo interpretar estos resultados?



Un saludo



Gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: PUBLICIDAD DE KALIA Y CALGONIT Y DISMINUCIÓN DE VOLUMEN DEL PC

Mensaje por msc hotline sat » 02 Jul 2010, 08:51

Pues vemos que son ficheros protegidos, ya que tras reiniciar indican:



C:\System Volume Information\Microsoft\SERVICES.EXE.VIR.VIR --> Acceso Denegado, Clicker.Cycler.AJUN (Reiniciar para Completar la Limpieza)



C:\System Volume Information\Microsoft\SMSS.EXE.VIR.VIR --> Acceso Denegado, Clicker.Cycler.AJUN (Reiniciar para Completar la Limpieza)



por lo que el sistema está protegiendo por cualquier causa dichos ficheros, pero como que están ya con extensión .VIR, no creo que se estén ejecutando, y aunque estén protegidos, no estarán activos.



Para eliminarlos quizas tendremos que recurrir a arrancar en consola de recuperacion o colocando el disco duro como esclavo en otro ordenador, pero lo importante es ver si persiste la anomalia del anuncio dichoso, porque sino ya es un residuo que, sin prisa, podrá eliminar arrancando con otro medio, como decimos.



Diganos pues si ya se ha solucionado el problema o aun da guerra, y obraremos en consecuencia.



saludos



ms, 2-7-2010

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: PUBLICIDAD DE KALIA Y CALGONIT Y DISMINUCIÓN DE VOLUMEN DEL PC

Mensaje por msc hotline sat » 04 Jul 2010, 18:39

Debido a que otros tres usuarios estan afectados por la misma historia de los anuncios de Kalia y calgonit, he buscado donde habíamos investigado al respecto, y visto que era en este Tema, lástima que el usuario no siguiera informando del resultado, pero en cualquier caso, el ELISTARA ya detecta el causante



Objecto: C:\System Volumen Information\Microsoft\smss.exe

Infección: Win32:Cycler-B [DRP]



aunque puede requerir desactivar la restauracion de sistema, debido a la ruta donde se ubica.



Asi que, para todos los afectados, primero desactivar la restairacion de sistema, pulsando boton derecho en MIPC -> Propiedades -> Restaurar -> Desactivar restauracion de sistema



y luego ARRANCAR EN modo seguro (Pulsar repetidamente F8 al iniciar y escoger dicha opcion) y en dicho modo lanzar el ELISTARA



y nos posteais el informe resultante, gracias (con un copiar y pegar del contenido de c:\infosat.txt)



saludos



ms, 4-7-2010

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: PUBLICIDAD DE KALIA Y CALGONIT Y DISMINUCIÓN DE VOLUMEN DEL PC

Mensaje por msc hotline sat » 04 Jul 2010, 19:12

Y segun he leido en otro foro al que quería ayudar y facilitar la eliminacion de dichos ficheros, parece que este virus Cycler tambien modifica el MBR, por lo que paralelamente a lo indicado, arrancar con el CD de instalacion de windows, pulsar R para acceder a la consola de Recuperacion y ejecutar FIXMBR, con FIXMBR -> <Enter>



saludos



ms, 4-7-2010

koeman09
Mensajes: 13
Registrado: 28 Jun 2010, 19:05

Re: PUBLICIDAD DE KALIA Y CALGONIT Y DISMINUCIÓN DE VOLUMEN DEL PC

Mensaje por koeman09 » 05 Jul 2010, 01:48

¡SOLUCIONADO!

Tras varios analisis con Elistara,Mi antivirus residente Avast me detecto los dos dichosos ficheros y los bloqueó,asique solo tuve que eliminarlos y el problema a remitido.

Además el problema de la publicidad iba acompañado por la disminución del volumen;esto tambien se solucionó!



Mil gracias a vosotros por ayudarme con este problema.



Espero que todos con el mismo problema puedan solucionarlo!



Un saludo

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: PUBLICIDAD DE KALIA Y CALGONIT Y DISMINUCIÓN DE VOLUMEN DEL PC

Mensaje por msc hotline sat » 05 Jul 2010, 05:36

Pues mejor asi, había sugerido los del MBR por haberlo leido en otro foro, pero si se limita a los dos ficheros de marras, todo estriba en desactivar la restauracion de sistema para que el ELISTARA o los antivirus puedan acceder al C:\system volume information\microsoft\ que es donde residían los dos ficheros.



Gracias por su información, y si se reproduce o tiene cualqiuer otro problema, ya sabe donde estamos :)



saludos



ms, 5-7-2010

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”