Problema de ¿Virus? muy curioso...no entiendo SOLUCIONADO

[pasieguco]

Hola Grupo, pues vereis, llevo bastante tiempo manejando éstos aparatos, para sorprenderme cada día mas con (me imagino que sean virus) los nuevas creaciones de las mentes obtusas crean para j**e al projimo, y vereis, sin anímo de ser mucho preámbulo os contaré que me baje un programa con una keygen en el lphant y antes de ejecutar la keygen lo escanee con el antivirus y el antispyware y no me saltó ni el antivirus (nod32) ni el spyware (a-squared free). el caso es que al ejecutarlo se quedó como pensando y a los dos segundos, me dice el sistema de seguridad de windows que el equipo esta en peligro y que el antivirus no está.



El caso es que al ver que el nod32 había desaparecido de segundo plano lo fuí a ejecutar y me dice que no se puede, que es una extensión win32 no valida y que no se puede, he intentado volverlo a instalar y me sigue diciendo lo mismo, intenté limpiar el registro con el ccleaner y no me deja ejecutarlo, he intentado instalar otro tipo de antivirus, desinstalando el mismo y tampoco.

Desintalé también el ccleaner y lo volví a instalar y no me ejecuta, el tuneup utilities no me deja pasar del primer escaneo rapido y no me limpia registro.



Ya por último he intentado hacer una restauración del sistema a un estado anterior y tampoco me deja, me da error de restauración siempre, incluso en varios dias y meses anteriores.

Le estoy haciendo un escaneo online con el kaspersky pero no me localiza nada.



Alguien, por favor, sabría solucionar éste problema?.



Muchas gracias adelantadas.

[msc hotline sat]

Pues empieza por no usar métodos de pirateo o no podremos ayudarte en este foro... "me baje un programa con una keygen en el lphant "



Para lo indicado, prueba el ELIBAGLA ya que, por los síntomas, es muy probable que tengas un BAGLE que te esté incordiando:





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 11-3-2008

[pasieguco]

ok, gracias, la proxima vez, no pondré lo que me decias, gracias por el consejo, y en breve te cuento

[msc hotline sat]

nO ES SOLO NO PONERLO, SINO NO HACERLO !!! :lol:



Pero lo que nos ocupa es solucionar el Tema, veamos si la hipótesis del ELIBAGLA resulta cierta... ??? Piensa que "solo" hay 500.000 virus mas, y por la moda, y olfato apostamos por el BAGLE, lo cual veremos en el infosat.txt



saludos



ms, 11-03-2008

[pasieguco]

EFECTIVAMENTE!!!

era el que tu me decías, ahora hago un copy-paste del txt, pero lo raro es que aún antes de hacerle doble click, como es posible que escaneandolo con antispyware actualizado y con el nod32, también actualizado se salte la protección antivirus y te trastorne el S.O, no lo entiendo, en fin, lo prometido es deuda, y aquí os mando el resultado del txt de la operación.



Muchas gracias, amigo.









Tue Mar 11 10:37:15 2008

EliStartPage v15.83 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2667

Nº Total de Ficheros: 23359

Nº de Ficheros Analizados: 12909

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Mar 11 12:25:14 2008

EliBagle v11.12 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.12

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Reinicie para Completar la Limpieza.



Tue Mar 11 12:25:30 2008

EliBagle v11.12 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 2669

Nº Total de Ficheros: 23844

Nº de Ficheros Analizados: 9178

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Tue Mar 11 12:32:16 2008

EliBagle v11.12 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.12

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Reinicie para Completar la Limpieza.



Tue Mar 11 12:32:23 2008

EliBagle v11.12 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 363

Nº Total de Ficheros: 1646

Nº de Ficheros Analizados: 419

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Tue Mar 11 17:14:19 2008

EliBagle v11.12 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.12

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Reinicie para Completar la Limpieza.



Tue Mar 11 17:14:25 2008

EliBagle v11.12 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 2666

Nº Total de Ficheros: 23869

Nº de Ficheros Analizados: 9171

Nº de Ficheros Infectados: 1

[lucl]

Pues debes enviarnos esto de momento



Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.12





sigue las instrucciones del link, saludos



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[msc hotline sat]

Y cuando hayamos recibido el fichero pedido, implementaremos su control y eliminacion en el proximo ELIBAGLA, de lo cual informaremos



Es una nueva variante de Bagle, de las que aparecen nuevas cada día...



saludos



ms, 11-3-2008

[pasieguco]

PUES ESTO SIGUE IGUAL.



Creía haber resuelto el problema, pero la verdad es que no lo ha hecho, lo cierto es que localizo un gusano de esos, lo eliminó, pero ésto sigue igual, ya no se que es lo que podría ser.



los antivirus siguen sin arrancar al igual que tampoco los limpiadores de registro, no me deja restaurar a un día anterior y tampoco me deja arrancar en modo seguro.



VAya tela

[msc hotline sat]

Pero nos ha enviado el fichero como le pediamos ???



Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.12



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



No nos consta haber recibido ninguno con su referencia !!!



saludos



ms, 11-3-2008

[flacoroo]

No se te olvide que cuando un bagle toca tu maquina daña todos los programas de seguridad y limpieza y por lo tanto los debes desinstalar en modo seguro y despues instalarlos de nuevo, claro esta sin estar conectado a internet o una red...



y no se te olvide mandar la muestra que se te pide.....

[msc hotline sat]

O eso, o esperar que nos la envie otro y para que podamos controlarla en proximos ELIBAGLES, que cada día hacemos nuevos...



Por nuestra parte dejamos en standbye este Tema hasta que recibamos las indicadas muestras o nos diga que ya ha solucionado el problema con una nueva version, si es el caso.



saludos



ms, 11-03-2008

[pasieguco]

Si, os mandé la muestra, tal como me pediais a la dirección que me ponía en el link, al final he tenido que formatear todo, por que tampoco me arrancaba en modo seguro.

[lucl]

Formatear es lo ultimo, pero ya que lo has echo cerramos el tema dandolo por solucionado, en cuanto al envio del archivo a lo mejor hubo algun problema y no llego. Si nos necesitas otra vez ya sabes donde estamos, saludos