Ordenador Core i7, 4 gigas de ram, a pedales (SOLUCIONADO)

Responder
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por msc hotline sat » 06 May 2011, 13:08

Pues envianos ficheros en los que detecte el malware y tras analizarlos, informaremos



La heuristica avanzada de McAfee es impresionante ya que cuando detecta un sospechoso conecta con los servidores centrales de McAfee y reportan on line la solucion al ordenador escaneado, al menos asi lo hace el VirusScan Enterprise, y supongo que tambien la herramienta que has utilizado, que no acostumbramos a usar por sus limitaciones, ya que controla solo un reducido numero de virus, aunque lo importante es que controle el que tengamos, claro :)



Recuerda:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 6-5-2011

Manumission
Mensajes: 13
Registrado: 04 May 2011, 13:19

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por Manumission » 06 May 2011, 15:54

Ya os mandé las muestras.

Ahora si que me estoy asustando...

Ayer me di cuenta que una carpeta donde guardaba todos los archivos de clase desde hace 2 anios ha desaparecido.

Hoy, uno de los archivos que detectó ayer el stinger y que no limpió, había desaparecido.

También te comento, que hace tiempo instalé el evolution, no me terminó de convencer, lo desinstalé, pero se quedo ahi una carpeta donde se guardaban todos los mails, datos, etc. No la podía borrar nunca, ni con, botón derecho/eliminar, ni con programas de borrado. El caso que ahora he iniciado Ubuntu para eliminarla desde ahi,, y cuando he vuelto a Windows Ya no me funciona La red Cableada! estoy escribiendo desde otro ordenador

Antes solo era problema de extrema lentitud, o eso parecía... ahora ya me esta jodiendo bien, sobre todo por el trabajo perdido de dos anios :(

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por msc hotline sat » 06 May 2011, 19:15

Hay malwares que se dedican a ocultar los ficheros, mira si desde una sesion de DOS, con un ATTRIB en la ruta donde debieran estar los ficheros, están pero con atributo S , H, ...y si es el caso, recupera su acceso con ATTRIB -S -H *.* y si es en todas partes, añade C:\*.*



Espero que no hayas perdido nada, y el lunes, cuando volvamos al trabajo en SATINFO, analizaremos las muestras enviadas e informaremos al respecto



saludos



ms, 6-5-2011

Manumission
Mensajes: 13
Registrado: 04 May 2011, 13:19

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por Manumission » 09 May 2011, 10:10

Buenos días despues del fin de semana!

Metí los comandos que me dijiste pero no estan los archivos. Se sabe algo de las muestras que mandé? puedo ir haciendo algo? saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por msc hotline sat » 09 May 2011, 12:50

De entrada vemos que de las muestras enviadas, ya el primer fichero que hemos enviado para analizar al VirusTotal, nos genera informe de virus:



File name: patch.exe

Submission date: 2011-05-09 10:31:46 (UTC)

Current status: finished

Result: 30 /42 (71.4%)

VT Community



not reviewed

Safety score: -

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2011.05.09.00 2011.05.08 Win-Trojan/Securisk

AntiVir 7.11.7.194 2011.05.09 BDS/Gendal.114688.C

Antiy-AVL 2.0.3.7 2011.05.09 Trojan/win32.agent.gen

Avast 4.8.1351.0 2011.05.09 -

Avast5 5.0.677.0 2011.05.09 -

AVG 10.0.0.1190 2011.05.09 Dropper.Generic2.FAN

BitDefender 7.2 2011.05.09 Backdoor.Generic.337972

CAT-QuickHeal 11.00 2011.05.09 HackTool.Patcher.A

ClamAV 0.97.0.0 2011.05.09 -

Commtouch 5.3.2.6 2011.05.09 W32/Backdoor2.EUUP

Comodo 8636 2011.05.09 Heur.Suspicious

DrWeb 5.0.2.03300 2011.05.09 -

eSafe 7.0.17.0 2011.05.09 Win32.HackTool.Patch

eTrust-Vet 36.1.8315 2011.05.09 Win32/Cracker.CG

F-Prot 4.6.2.117 2011.05.09 W32/Backdoor2.EUUP

F-Secure 9.0.16440.0 2011.05.09 Backdoor.Generic.337972

Fortinet 4.2.257.0 2011.05.09 -

GData 22 2011.05.09 Backdoor.Generic.337972

Ikarus T3.1.1.103.0 2011.05.09 Trojan.Win32.Patcher

Jiangmin 13.0.900 2011.05.09 -

K7AntiVirus 9.102.4584 2011.05.06 Backdoor

Kaspersky 9.0.0.837 2011.05.09 -

McAfee 5.400.0.1158 2011.05.09 Generic.dx!sso

McAfee-GW-Edition 2010.1D 2011.05.08 Generic.dx!sso

Microsoft 1.6802 2011.05.09 Trojan:Win32/Dynamer!dtc

NOD32 6106 2011.05.09 Win32/HackTool.Patcher.A

Norman 6.07.07 2011.05.09 W32/Suspicious_Gen.NHP.dropper

nProtect 2011-05-09.01 2011.05.09 Backdoor.Generic.337972

Panda 10.0.3.5 2011.05.08 Trj/CI.A

PCTools 7.0.3.5 2011.05.09 Trojan-PSW.Gampass

Prevx 3.0 2011.05.09 -

Rising 23.57.00.03 2011.05.09 -

Sophos 4.65.0 2011.05.09 Troj/Bdoor-AZC

SUPERAntiSpyware 4.40.0.1006 2011.05.09 Trojan.Agent/Gen-HackPatch

Symantec 20101.3.2.89 2011.05.09 Infostealer.Gampass

TheHacker 6.7.0.1.191 2011.05.08 -

TrendMicro 9.200.0.1012 2011.05.09 TROJ_SPNR.04DD11

TrendMicro-HouseCall 9.200.0.1012 2011.05.09 TROJ_SPNR.04DD11

VBA32 3.12.16.0 2011.05.08 -

VIPRE 9231 2011.05.09 Trojan.Win32.Generic!BT

ViRobot 2011.5.9.4451 2011.05.09 -

VirusBuster 13.6.343.0 2011.05.08 Backdoor.Agent2!gZ1Waqv/pmw

Additional informationShow all

MD5 : f0e452cfa3895dbb5336bb9a13c1b1be

SHA1 : c9b86fe95a99cc8d30055a49a18bac54788b7893



File size : 114688 bytes



Posiblemente sea un Backdoor, lo monitorizaremos e informaremos junto con los demas.



saludos



ms, 9-5-2011

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por msc hotline sat » 09 May 2011, 12:58

Y mas de lo mismo con el KEYGEN.EXE:



File name: Keygen.exe

Submission date: 2011-04-07 18:26:01 (UTC)

Current status: finished

Result: 21 /41 (51.2%)

VT Community



not reviewed

Safety score: -

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2011.04.08.00 2011.04.07 Malware/Win32.Generic

AntiVir 7.11.6.4 2011.04.07 TR/Crypt.PEPM.Gen

Antiy-AVL 2.0.3.7 2011.04.06 -

Avast 4.8.1351.0 2011.04.07 Win32:Malware-gen

Avast5 5.0.677.0 2011.04.01 Win32:Malware-gen

AVG 10.0.0.1190 2011.04.07 BackDoor.Generic13.AOSL

BitDefender 7.2 2011.04.07 Trojan.Generic.5750981

CAT-QuickHeal 11.00 2011.04.07 (Suspicious) - DNAScan

ClamAV 0.97.0.0 2011.04.07 PUA.Packed.PECompact-1

Commtouch 5.2.11.5 2011.04.06 -

Comodo 8256 2011.04.07 Packed.Win32.MPEC.Gen

DrWeb 5.0.2.03300 2011.04.07 -

Emsisoft 5.1.0.5 2011.04.07 possible-Threat.Keygen.Core!IK

eSafe 7.0.17.0 2011.04.04 Win32.TRCrypt.Pepm

eTrust-Vet 36.1.8258 2011.04.07 -

F-Prot 4.6.2.117 2011.04.07 -

F-Secure 9.0.16440.0 2011.04.07 Trojan.Generic.5750981

Fortinet 4.2.254.0 2011.04.07 W32/BackDoor.CYH!tr

GData 22 2011.04.07 Trojan.Generic.5750981

Ikarus T3.1.1.103.0 2011.04.07 possible-Threat.Keygen.Core

Jiangmin 13.0.900 2011.04.07 -

K7AntiVirus 9.96.4320 2011.04.07 -

Kaspersky 7.0.0.125 2011.04.07 -

McAfee 5.400.0.1158 2011.04.07 Generic BackDoor!cyh

McAfee-GW-Edition 2010.1C 2011.04.07 Heuristic.LooksLike.Win32.Suspicious.C!83

Microsoft 1.6702 2011.04.07 -

NOD32 6023 2011.04.07 -

Norman 6.07.07 2011.04.07 W32/Suspicious_Gen2.JPYPT

Panda 10.0.3.5 2011.04.07 -

PCTools 7.0.3.5 2011.04.07 -

Prevx 3.0 2011.04.07 Medium Risk Malware

Rising 23.52.03.06 2011.04.07 -

Sophos 4.64.0 2011.04.07 -

SUPERAntiSpyware 4.40.0.1006 2011.04.06 -

Symantec 20101.3.2.89 2011.04.07 -

TheHacker 6.7.0.1.168 2011.04.07 -

TrendMicro 9.200.0.1012 2011.04.07 PAK_Generic.001

TrendMicro-HouseCall 9.200.0.1012 2011.04.07 PAK_Generic.001

VBA32 3.12.14.3 2011.04.07 -

ViRobot 2011.4.7.4398 2011.04.07 -

VirusBuster 13.6.293.1 2011.04.07 -

Additional informationShow all

MD5 : c0acdc9b196a523de5d96cfe486e7fc4

SHA1 : 7d933be479e52a64de9b6abd529d8b35aae9b900



File size : 30720 bytes





Mientras, a ESTOS FICHEROS YA LES PUEDES AÑADIR .VIR a su extensión !!!





saludos



ms, 9-5-2011

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por msc hotline sat » 09 May 2011, 13:18

El tercer fichero enviado es de instalacion del Flash Player, y no se detectan rutinas sospechosas.



Sobre el PATCH.EXE pasamos a controlarlo como HACKTOOL PATCH y al KEYGEN.EXE lo controlaremos como KEYGEN CORE, a partir del ELISTARA 23.18 de hoy



A partir de las 19 h CEST, dicho ELISTARA 23,18 que losm detecta y elimina, estará disponible en nuestra web.



saludos



ms, 9-5-2011

Manumission
Mensajes: 13
Registrado: 04 May 2011, 13:19

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por Manumission » 09 May 2011, 20:09

Buenas tardes, acabo de pasar de nuevo el EliStarA con la nueva versión de hoy y en C: no detecta nada, y en D: que es donde estaban los archivos tampoco los detecta ya que estan dentro de un paquete RAR, he hecho la prueba con el patch.exe descomprimiendolo en el escritorio y analizando la carpeta del escritorio y entonces si lo detecta y elimina. Que hago? los borro a capón?

de todas formas ya digo, que esos archivos me los bajé mucho despues de que el problema de la lentitud y del consumo de procesador y RAM surgiera.

Que hago? voy planteándome el formatear o todavia quedan cosas que se puedan hacer?

gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por msc hotline sat » 09 May 2011, 20:19

Sí, los dos ficheros indicados puede eliminarlos.



Pero si estaban empaquetados no molestaban, asi que no eran los que ralentizaban el equipo.



De todas formas posteenos el infosat.txt, aunque le parezca que no detecte nada, puede contener datos significativos para nosotros.



A la vista de ello, decidiremos lo que puede hacer para mejorar la velocidad, quizas desfragmentar, quizas eliminar aplicaciones innecesarios del inicio... ya veremos



saludos



ms, 9-5-2011



ANEXO:



Y dandole vueltas al sproclog, quizas este fichero puede ralentizar, sin necesidad de que sea malware:



C:\Program Files (x86)\Movistar\Terabox\vewatch.exe



Prueba de aparcarlo, añadiendole .VIR a su extension y mira si tras reiniciar se ha ido la lentitud...



Tambien el panda que tiebes instalado puede ser la causa...



saludos



ms, 9-5-2011

Manumission
Mensajes: 13
Registrado: 04 May 2011, 13:19

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por Manumission » 09 May 2011, 20:45

Traigo noticias!

viendo un post reciente de alguien que no encontraba nada con el EliStarA en modo a prueba de fallos pero si en la sesión infectada, he probado yo lo mismo. He ido a analizar pero el boton de explorar salía inactivo, total, que al cerrar la aplicación... ZAS! salia el mensaje de infectado por troyano de AppInit. Os paso el reporte, que por cierto, el archivo que marca seguro que te suena...



(9-5-2011 18:34:55 (GMT))

EliStartPage v23.18 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Mayo del 2011)

--------------------------------------------------

Ejecución con Permisos Limitados.

Usuario: Fernando

Sesión de Usuario: Fernando

ID Sesión de Usuario: S-1-5-21-2689694948-1944389733-553111373-1001

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Acceso de Lectura al MBR del HD0.



(9-5-2011 18:36:54 (GMT))

EliStartPage v23.18 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Mayo del 2011)

--------------------------------------------------

Ejecución con Permisos Limitados.

Usuario: Fernando

Sesión de Usuario: Fernando

ID Sesión de Usuario: S-1-5-21-2689694948-1944389733-553111373-1001

Lista de Acciones (por Cierre):

Sistema Infectado por Troyano de AppInit

C:\PROGRA~2\GOOGLE\GOOGLE~2\GOOGLEDESKTOPNETWORK3.DLL C:\PROGRA~2\GOOGLE\GOOGLE~2\GO36F4~1.DLL

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



(9-5-2011 18:38:55 (GMT))

EliStartPage v23.18 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Mayo del 2011)

--------------------------------------------------

Ejecución con Permisos Limitados.

Usuario: Fernando

Sesión de Usuario: Fernando

ID Sesión de Usuario: S-1-5-21-2689694948-1944389733-553111373-1001

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Acceso de Lectura al MBR del HD0.



(9-5-2011 18:39:20 (GMT))

EliStartPage v23.18 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Mayo del 2011)

--------------------------------------------------

Ejecución con Permisos Limitados.

Usuario: Fernando

Sesión de Usuario: Fernando

ID Sesión de Usuario: S-1-5-21-2689694948-1944389733-553111373-1001

Lista de Acciones (por Cierre):

Sistema Infectado por Troyano de AppInit

C:\PROGRA~2\GOOGLE\GOOGLE~2\GOOGLEDESKTOPNETWORK3.DLL C:\PROGRA~2\GOOGLE\GOOGLE~2\GO36F4~1.DLL

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Edito: Ahora no puedo si quiera abrir el EliStarA, se queda en "Restaurando Registro de Sistema" y No responde... he probado también deshabilitando el Panda y cerrando el Google Desktop y tampoco responde. Que puedo hacer? entro en la consola de recuperación y renombro el archivo en cuestión a .VIR o eso conmigo no funcionaria? hasta que no me digais nada prefiero no toquetear no sea que la lie más.

Manumission
Mensajes: 13
Registrado: 04 May 2011, 13:19

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por Manumission » 10 May 2011, 15:33

Buscando en otros post, he visto que se podría meter elistara en la carpeta de system32 y correrlo con /saltareg para que no se quede pillado en restaurando...

el caso que al intentarlo me sale una ventanita que dice algo asi como archivo modificado, posiblemente por un virus, por favor contacte con Satinfo.

Me descargue Elinotif.dll para ver si asi puede hacer algo, pero no puedo correr elistara en la sesión infectada. en modo a prueba de fallos si, pero no encuentra nada

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por msc hotline sat » 10 May 2011, 15:39

Todo correcto hasta llegar aqui: [b][i]"me sale una ventanita que dice algo asi como archivo modificado, posiblemente por un virus"[/i][/b]



Eso quiere decir que tienes un virus infector que está modificando los ejecutables, y en tal caso lo que has de hacer es desinfectar el ordenador con el antivirus que lo detecte, arrancando sin virus, claro, para ello puedes probar arrancar en modo seguro.



Pero dinos de qué virus se trata, pues si no te lo ha detectado tu antivirus, que creo que es Panda, igual habrás de buscar otro antivirus.



En tal caso, prueba con el Cureit ONLINE, te lo descargas desde:



ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe



luego arrancas en MODO SEGURO y lo lanzas, a ver si lo detecta y elimina.



y nos cuentas el resultado, gracias.



saludos



ms, 10-5-2011

Manumission
Mensajes: 13
Registrado: 04 May 2011, 13:19

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por Manumission » 16 May 2011, 13:01

Hola, perdón por haber tardado tanto en contestar.



Intenté pasar el CureIt pero el ordenador se calentaba mucho y se terminaba apagando solo para prevenir danios. Además el escaneo rápido siempre pasaba de las 6 horas...

Tambien pasé el AVG, Avira, Avast y PC Tools Security. El AVG encontró algo pero no solucionó el problema, el Avast nada y los otros dos encontraron algo pero empaquetado en RAR y descargado mucho despues de que llegara el problema.



Cuando me compré le ordenador me dijeron que si tocaba las particiones y las ponia a mi gusto o con otro sistema operativo etc, perderia la garantia. Por lo que me da miedo que de tanto calentón se jodiera el procesador y no pudiera encender el equipo para dejar el disco duro de fábrica, ya que otra opción era abrir el ordenador para cambiar el procesador pero evidentemente tambien perderia la garantia y el ordenador me lo compré en enero, solo tiene 5 meses...



El caso que por miedo a que este problema desembocara en un problema de hardware, finalmente he formateado.



Muchas gracias por la ayuda que me habéis dado. Aunque no se haya arreglado el problema pero esto me ha servido para aprender un poquitin más y no tomarme a la ligera el tema de la seguridad del ordenador, que muchas veces se piensa, buah, con lo que uso el ordenador yo, no me va a entrar ningún virus, y no se toman las medidas oportunas... de hecho al principio ni instalé antivirus...



Ahora, cuando instalé windows, lo primero que hice fue instalar un antivirus y los segundo un firewall.

Asi es que nada, lo dicho, muchas gracias de nuevo y como dije unos cuantos post atrás, aunque no se haya solucionado os debo unas cerves cuando vaya por BCN.



Por mi parte se puede cerrar el tema.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Ordenador Core i7, 4 gigas de ram, a pedales

Mensaje por msc hotline sat » 16 May 2011, 13:49

Muerto el perro, se acabó la rabia, pero esto que nos dice de que [b][i]"pero el ordenador se calentaba mucho"[/i][/b], tengalo en cuenta ya que un ordenador tan nuevo y potente debería estar diseñado para no calentarse tanto... Vigile que viene el verano ! Quizás alguno de los ventiladores se ha estropeado...



Por lo demás, nosotros hubieramos sido partidarios de arreglarlo sin formatear, pues formateando siempre algo se pierde, pero respetamos su decisión, claro.



Y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 16-5-2011

Responder

Volver a “Foro HijackThis - copia y pega tu log”