problema con un virus (SOLUCIONADO)

[Padega]

[b][i]H[/i][/b]ola, q[b][i]ue[/i][/b] tal? esta vez no es mi ordenador el q[b][i]ue[/i][/b] esta infectado,pero una amiga tiene un problema de virus y me pidio ayuda para solucionarlo.el ordenador le daba problemas ultimamente,pero ahora le aparece un aviso de su antivirus nod32 donde pone: envio de archivos sospechosos, alguno de los archivos sospechosos preparados para el análisis no han sido confirmados,para abrir la ventana de confirmacion pulse en este mensaje..y luego aqui le aparecen dos archivos del system volume information restore,que dice q[b][i]ue[/i][/b] son sospechosos y q[b][i]ue[/i][/b] los envie a eset para q[i][b]ue[/b][/i] lo analicen. le dije q[b][i]ue[/i][/b] pasara el elipen y le aparecia esto



Detectado D:\Autorun.inf

SHELLEXECUTE=INFO.EXE PROTECT.ED 480 480

D:\Autorun.inf -> Renombrado a .OLD

luego le dije q[b][i]ue[/i][/b] pasara elistara,y nada mas ejecutarlo le salio esto



Por favor, envienos una muestra del fichero

C:\Muestras\IBM00001.DLL.Muestra EliStartPage v15.58

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WEB FOLDERS\IBM00001.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IBM00002.DLL.Muestra EliStartPage v15.58

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WEB FOLDERS\IBM00002.DLL --> Eliminado

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).



despues,cuando lo estaba analizando en la unidad c, le aparecio un cartel donde decia q[b][i]ue[/i][/b] no podia acceder a una carpeta de system (la restauracion del sistema estaba desactivada y el ordenador en modo seguro) y siguio analizando. [b][i]N[/i][/b]o le aparecio ningun archivo infectado.

el aviso del nod32 le sigue apareciendo.

yo le he dicho q[b][i]ue[/i][/b] analice el ordenador con el kasperky online[b][i] a ver[/i][/b] q[b][i]ue[/i][/b] le sale, para luego poder enviaros la informacion.vosotros q[b][i]ue[/i][/b] aconsejais? gracias



_________________



INTERVENCION DE ZONAVIRUS: [url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]



Procure escribir sus posts correctamente, y sin abreviaciones tipo móvil, el foro no es un chat ni está enviando un mensaje de móvil... Sus posts quedan guardados para el histórico y deben poder ser consultados y entendidos



En atención a los demás foreros, esmerese en la redacción y vigile las faltas de ortografía, duelen a los ojos !



gracias.



_________________

[msc hotline sat]

Pues empiece por enviarnos estas muestras que le pedimos para analizar:



Por favor, envienos una muestra del fichero

C:\Muestras\IBM00001.DLL.Muestra EliStartPage v15.58



Por favor, envienos una muestra del fichero

C:\Muestras\IBM00002.DLL.Muestra EliStartPage v15.58





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Tras analizarlas, implementaremnos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos.



saludos



ms, 5-2-2008

[Padega]

Acabo de enviaros las muestras que me pedías por email.

Aqui os dejo la información que aparecía en el resultado del kaspersky:





C:\Archivos de programa\ESET\cache\FND0.NFI Infectados: Trojan-Spy.Win32.Banbra.aaq saltado



C:\Archivos de programa\ESET\cache\FND1.NFI Infectados: Trojan-Spy.Win32.Banbra.abg saltado



C:\Archivos de programa\ESET\infected\KDZINVDA.NQF Infectados: Trojan-Spy.Win32.BZub.bxg saltado



C:\Documents and Settings\Almu\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\file\java.class-3f551d86-3c520621.class Infectados: Exploit.Java.Gimsh.a saltado



C:\Muestras\IBM00001.DLL.Muestra EliStartPage v15.58 Infectados: Trojan-PSW.Win32.Sinowal.gj saltado



C:\Muestras\IBM00002.DLL.Muestra EliStartPage v15.58 Infectados: Trojan-PSW.Win32.Sinowal.gj saltado



Gracias por vuestra ayuda, saludos.

[msc hotline sat]

No son los que le pedíamos, pero los analizaremos y procederemos en consecuencia, aunque con ello no se solucione el problema de los anteriores...



Ademas, alguno de estos parece ser de una carpeta de cuarentena, asi que ya estaban aparcados...



Pero bueno, tras analizarlos, informaremos



saludos



ms, 20-2-2008

[Padega]

Os he enviado las muestras que aparecían con el elistara.Los que aparecían en la carpeta muestras que me dijisteis.Si tengo que enviar alguna otra muestra comunícamelo. Gracias

[msc hotline sat]

No sé lo que ahora ha enviado, pues SATINFO ya está cerrado, mañana lo vemos, pero lo que pediamos era:


[quote]Pues empiece por enviarnos estas muestras que le pedimos para analizar:



Por favor, envienos una muestra del fichero

C:\Muestras\IBM00001.DLL.Muestra EliStartPage v15.58



Por favor, envienos una muestra del fichero

C:\Muestras\IBM00002.DLL.Muestra EliStartPage v15.58 [/quote]

no lo que en su ultimo post nos decia que enviaba...



saludos



ms, 20-2-2008

[Padega]

Si,esas muestras que me pedías son las que he enviado,las otras que aparecían en mi último post era sólo la información de los virus y los archivos infectados que me aparecían en el resultado del kaspersky.

[msc hotline sat]

Entendido, pues en una hora entraremos a trabajar en SATINFO y ya las veremos y analizaremos, tras lo cual informaremos.



saludos



ms, 21-2-2007

[msc hotline sat]

Analizados los ficheros resultan ser nuevas variantes de PWS-IA tambien conocido como SINOVAL, que hemos implementado en el ELISTARA de hoy 15.71, el cual podrá probar a partir de las 19 h GMT



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 21-2-2008

[Padega]

Acabo de pasar el Elistara 15.71 y este es el resultado del infosat:





Thu Feb 21 19:27:53 2008

EliStartPage v15.71 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 21 19:28:59 2008

EliStartPage v15.71 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\IBM00001.DLL.MUESTRA ELISTARTPAGE V15.58 --> Eliminado, PWS-JA

C:\Muestras\IBM00002.DLL.MUESTRA ELISTARTPAGE V15.58 --> Eliminado, PWS-JA



Nº Total de Directorios: 5025

Nº Total de Ficheros: 55790

Nº de Ficheros Analizados: 14097

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Thu Feb 21 19:35:03 2008

EliStartPage v15.71 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 27

Nº Total de Ficheros: 1800

Nº de Ficheros Analizados: 1010

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Feb 21 19:35:19 2008

EliStartPage v15.71 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 18

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mientras se estaba analizando la unidad C me ha aparecido una ventana del Elistara diciendo:

Acceso denegado a la carpeta: C:\\ System Recovery (22)



Y la el Nod sigue con su alerta sobre unas amenazas pertenecientes al System Volume/ restore . ¿ Serán estos los virus en cuarentena?



Gracias por vuestra ayuda.

[msc hotline sat]

pUES ESTUPENDO:


[quote]C:\Muestras\IBM00001.DLL.MUESTRA ELISTARTPAGE V15.58 --> Eliminado, PWS-JA

C:\Muestras\IBM00002.DLL.MUESTRA ELISTARTPAGE V15.58 --> Eliminado, PWS-JA[/quote]

Asi ya se ha eliminado el virus.



Y lo del RESTORE, desactiva la restauracion de sistema, arranca en modo seguro y podrás acceder a dichos ficheros y eliminarlos, pero no te preocupes que si no restauras a un punto anterior, estan a buen recaudo.



Y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 21-2-2008