[AYUDA] WinAvXX ---> Virus? ? (SOLUCIONADO)

[elturko]

Constantemente me salen estos mensajes http://img338.imageshack.us/img338/8476/wsacf4.jpg



Cuando inicio la maquina, no me deja entrar al Panel de control, no me deja abrir el Administrador de tareas; Cuando intento hacer alguna de estas cosas me dice: ``El administrador de tareas ha sido desactivado por el Administrador´´



-------------------------------------------------------



Hize un Scan con mi antivirus : CA Secury Center

Pero no encuentra nada.



Cuando paso el Elistara, en cuentra un Troyano, y lo elimina, pero cuando vuelvo a iniciar la maquina nuevamente, aparecen de nuevo.



Esto fue lo que me dio el Elistara:



Tue Sep 11 18:23:24 2007

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Sep 11 18:28:20 2007

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINAVXX.EXE.Muestra EliStartPage v14.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINAVXX.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v14.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "WinAVX"="C:\WINDOWS\system32\WinAvXX.exe"

Entrada Eliminada [HKLM\...\Run] "WinAVX"="C:\WINDOWS\system32\WinAvXX.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=setup.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Sep 11 18:28:30 2007

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\CA\CA Internet Security Suite\CASECURITYCENTER.EXE --> Eliminado, 180Solutions







Mil gracias...

[lucl]

Como te pide elistara debes enviarnos estos archivos que te ha dejado en la carpeta muestras, tras analizarlos te diran algo al respecto, estate atento a tu post, saludos



Por favor, envienos una muestra del fichero

C:\Muestras\WINAVXX.EXE.Muestra EliStartPage v14.60

a "virus@satinfo.es". Gracias.



Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v14.60

a "virus@satinfo.es". Gracias.



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[msc hotline sat]

Bien, pues es una variante de los WINAVXX que ya conocemos, y este descarga el Win Antivirus Pro 2007 ...



Se implementa su control y eliminacion en la nueva version ELISTARA 14.62 de hoy que estara disponible a partir de las 19 h GMT





ELISTARA:



http://www.zonavirus.com/descargas/elistara.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 12-09-2007

[elturko]

Wed Sep 12 15:27:15 2007

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINAVXX.EXE --> Eliminado AntiVirus2007Pro(dldr)

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado AntiVirus2007Pro(dldr)

Entrada Eliminada [HKCU\...\Run] "WINAVX"="C:\WINDOWS\system32\WinAvXX.exe"

Entrada Eliminada [HKLM\...\Run] "WINAVX"="C:\WINDOWS\system32\WinAvXX.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=setup.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Sep 12 15:27:40 2007

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\All Users\Datos de programa\CA\Consumer\ISS\tmp\issproduct\CASECURITYCENTER.EXE --> Eliminado, 180Solutions

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\AUTORUN.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\Documents and Settings\Carlos\Menú Inicio\Programas\Inicio\SYSTEM.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\Muestras\PRINTER.EXE.MUESTRA ELISTARTPAGE V14.60 --> Eliminado, AntiVirus2007Pro(dldr)

C:\Muestras\WINAVXX.EXE.MUESTRA ELISTARTPAGE V14.60 --> Eliminado, AntiVirus2007Pro(dldr)

[lucl]

pues a parte de esto que te dice





Detectado AUTORUN.INF en la Unidad (C)

open=setup.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.





dinos que tal va ahora tu pc ya que ha sido eliminado el virus, y por favor no postees en paralelo que esta prohibido, el otro se cerrara pero continua en este, saludos

[elturko]

Mucho mejor, despues que pase el Elistara, y reinicie, intente abrir el Administrador de tareas y me dejó, ademas la pc va muy bien. Lo unico seria ese Autorun.



Hago una pregunta: Cuando abro el Administrador de tareas, me doy con 6 o 7 Svchost.exe hay manera de que no se abran tantos??





Muchas gracias por ayudarme...

[Claudia34]

Con respecto a la ultima pregunta que realizas, te dire que es normal, en mi caso tengo 5 svchost.exe, aunque se sabe que pueden haber muchos virus oportunistas que aprovechen eso para camuflarse cambiando una letra de esa palabra, en fin hay de todo. Saludos

[msc hotline sat]

El AUTORUN puede ser resultado de copiar un CD al disco duro, pero ya ves que lanza un SETUP.EXE, sal de dudas sobre lo que es subiendo dicho fichero al VIrusTotal https://www.virustotal.com/es/



y nos comentas elr esultado, gracias



y sobre el SVCHOST, ten presente esto:





El SVCHOST.EXE es, originalmente, el lanzador de tareas del windows, pero debe estar en la carpeta de sistema, C:\windows\system32 si es XP



Como que son varias las aplicaciones que se lanzan en el inicio a través de este lanzador, aparecerá en el Administrador de tareas varias veces, pasando desapercibido si hay uno mas o uno menos.



Por ello es aprovechado por los coders para usar este nombre ocultando su gusano, si bien no puede estar en la misma carpeta que el original con el mismo nombre, y lo ponen en una cerca, o la previa de C:\windows o en una posterior como por ejemplo c:\windows\system32 \drivers, por ejemplo...



En otros casos utilizan la misma carpeta, pero cambiando ligeramente el nombre, por ejemplo utilizando SCVHOST en lugar de SVCHOST, para pasar desapercibido y otros nombres o combinaciones alfanumericas que se preste a confusion, como SVCH0ST que no es el SVCHOST ya que la O es un cero. etc.



Pero aun siendo normal puede que la aplicacion lanzada sea malware, por lo que siempre se ha de disponer de un buen antivirus y de los parches de microsoft instalados y actualizados, lo cual puede ser motivo de incidencias en caso contrario



Y con lo indicado se da por aclarado el uso del nombre SVCHOST por los malwares.



saludos



ms, 13-09-2007

[elturko]

Bueno, al decir verdad, me sirvieron de mucho sus respuestas y aportes.

Muchas gracias, y mi forma de agradecer es haciendo un click en los anuncios.



Cualquier problema que pueda llegar a tener, lo voy a postear aca.

[msc hotline sat]

Pues damos ya el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 13-09-2007