Trojano disco extraible

[santi1]

Hola a todos.

Desde que me compre un disco duro extraible todo han sido problemas en mi pc. Despues de 3 formats seguidos y haber eliminado bastnates tipos de virus y trojanos, el ultimo que me ha entrado, detectado por kaspersky 7.0 ( y del que no hay noticias o informacion en su pagina web ni en viruslist.com es un tal Trojan.Downloader.dgetcodec no se que mas. El trojano en cuestion, que no entiendo si es verdaderamente un trojano , me infecta todos los archivos .vmw y .mp3 que scaneo o que ejecuto. El problema es que no se pueden desinfectar y la unica opcion que me da es eliminar......claro son mas de 6000 canciones en mp3 y mas de 370 videos en wmv.....



Conoceis este trojano ? ¿ Se puede hacer algo para salvar mi coleccion mp3 ?

Estoy un poco preocupado ya que hay unos cuantos miles de archivos infectados en mi pc, y utilizo contraseñas

diariamente para meterme en webs y juegos on - line.



Muchas Gracias.

[msc hotline sat]

Pues envianos el fichero ejecutable que detectas estar infectado con el Trojan.Downloader.dgetcodec y tras analizarlo, informaremos

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos

ms, 14-07-2008

[santi1]

Hola, gracias por responder tan rapido.

No hay archivo ejecutable, que yo sepa, solo archivos mp3 y wmv infectados....



Gracias

[msc hotline sat]

Entonces si los detecta tu antivirus, desactiva la restauracion de sistema, arranca en modo segur0 y lanza dicho antivirus que posiblemente de esta forma los pueda limpiar...



Caso de que asi no puedas limpiarlos, indicanos nombre exacto del malware, para buscar informacion especifica, veremos si se pueden limpiar... (pueden estar corruptos)



saludos



ms, 14-07-2008

[santi1]

Hola

Reinicie el pc en modo seguro y marque la opcion desactivar restaurar sistema, por ese orden, y nada no puede desinfectarlos. El mensaje del kasper , es ``detectado: Un caballo de troya Trojan-Downloader.WMA.GetCodec.d File: E:\Musica Mp3\Dance, Techno, House\Álbum desconocido\02 Pista 2.wma´´



Me ha infectado tb ademas de los wma y mp3, los wma y asf..



Estaba pensando que igual es que les faltan codecs y su ``intento´´ por conseguirlos lo vea el kaspersky como una amenaza....pero los codecs estan instalados desde hace tiempo y los he ejecutado y nunca ha pasado nada, asi es que

supongo que sera una infeccion real, y no algo inofensivo que el kasper pueda considerar peligroso.

He hecho un scaner completo del pc y no detecta nada mas que eso, archivos infectados.

:roll:

Gracias

[msc hotline sat]

Es que igual te los ha modificado y ahora no funcionan... Pruebalo, pero vamos, que si es asi y no funciona tiene mal arreglo...



Ya nos contarás si funcionan o no.



saludos



ms, 144-07-2008

[santi1]

Hola



Pues no van no.....crei que los bloqueaba el antivirus, pero lo he desconectado y no van... :oops:

Que disgusto diossss

¿ habias oido antes algo así ? Como es posible que el antivirus haya dejado que se infecten 3000 mp3?



He hecho un scaner completo y nada, lo unico que detecta son los mp3 infectados. He copiado musica nueva desde un cd al pc, y esos si funcionan y parece que no se infectan.....¿ debo sacar la conclusion de que lo que sea que me los infecto ya no esta ? ¿ Me interesa mas borrarlo todo y volver a empezar de nuevo a ripear TODOS los cds ( originales por supuesto ) ?



Gracias

[flacoroo]

bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y cuando diga explorar le das click; hasta que termine; despues nos pegas el resultado de C:infosat.txt
Descargar Elistara
Descargar ElitriIP
Descargar Elinotiff (complemento del elistara, no se ejecuta pero deben estar en la misma carpeta)

[msc hotline sat]

Posiblemente no conociera este virus cuando entró e hizo la "faena", y luego cuando ya lo controla ya es tarde...



Piensa que cada día aparecen un promedio de 125 nuevas variantes de virus, si bien afortunadamente no son tan destructivos como parece que es este.



SI tuvieras en alguna parte un fichero bueno de los que ahora no te funcionan, y nos envias los dos, bueno y malo, mirariamos la diferencia, a ver si es cuestion de apañar alguna cadena...



Dinoslo y obraremos en consecuencia



saludos



ms, 15-07-2008

[santi1]

Hola.

Para que sirven esos archivos que me linkeas ?



Ahora mismo no tengo el mismo archivo infectado y sin desinfectar.... supongo que solo el infectado no te vale porque

no puedes comparar.

Bueno muchas gracias por la ayuda.

[Richo150]

Esos 3 enlaces son programas como antivirus actualizados.....si los bajas colocalos en una misma carpeta y luego le das scan a la computadora para saber si esas actualizaciones de antivirus los detectan o destruyen....luego del scan te va a dar una hoja de informacion de todo lo que existe en tu computadora y ese logo lo copias aqui para ver que fichero debes borrar y como....



En caso de que no los borre ese antivirus, vas a tener que enviar los ficheros infectados pero eso ya te lo van a explicar...primero bajate los 3 programas que te dijeron

[msc hotline sat]

Efectivamente RICHO150, la intencion es comparar un original con él mismo infectado, y ver si ha añadido al principio, en medio o al final alguna cadena virica o maliciosa que nos impida su funcionamiento y que pudieramos extraer, para probar lo mismo con los demas ficheros afectados, o por el contrario ha sobreescrito todo el código...



Si en alguna parte, otro ordenador por ejemplo, o copia de seguridad de alguno de estos ficheros, nos envias los dos, pero con uno solo, si ya no funciona, no es probable que podamos hacer nada. Puedes subirlo al virustotal a ver si detectan algo... A lo mejor nos enteramos del viruis que fué: www.virustotal.com/es y nos posteas el resultado, gracias



saludos



ms, 17-07-2008

[msc hotline sat]

Si bien es un Tema del mes pasado, ante la gravedad de las consecuencias de este GETCODEC que decias haber tenido, y no habiendo recibido el fichero de muestra que pedíamos para controlarlo, visto lo indicado en el articulo de Hispasec que acabo de ver, sugiero revises de nuevo este ordenador y pruebes la utilidad que Hispasec

Desde Hispasec, nuestro compañero Marcin Noga ha realizado un análisis de ingeniería inversa del troyano con el fin de detallar su mecanismo de infección. El documento se puede encontrar en las siguientes URLs:
(Español) http://www.hispasec.com/laboratorio/Ana ... tCodec.pdf
(Inglés) http://www.hispasec.com/laboratorio/Get ... alysis.pdf

De igual forma, Marcin ha desarrollado una herramienta para limpiar la infección en todas aquellas máquinas que se han visto afectadas, eliminando el código malicioso de los archivos multimedia infectados.

La herramienta puede ser descargada desde:
http://www.hispasec.com/laboratorio/Mul ... fector.exe

ya nos contarás...

saludos

ms, 19 de Agosto de 2008



NOTA: y Santi1 decía : "Estaba pensando que igual es que les faltan codecs y su ``intento´´ por conseguirlos lo vea el kaspersky como una amenaza...."

MIEDO ME DA !!! - y mas vale asegurarse que lamentarse... !!! ms.

[movp2m]

Hola a todos y gracias por esta fabulosa colaboración.



Os cuento, yo tenia el mismo problema que "Santi 1", no habia forma de reproducir un archivo de audio (mp3) o de video, pues el antivurus (Nod 32) detectaba un "Trojan-Dowloader.GetCodec.gen" y lo mandaba a cuarentena.

Estuve mirando por la red a ver si eso era normal y/o tenía solución pero no encontraba nada, por lo que llegué a creer que sería un error del nod, hasta leer este post, y comprobé que le pasaba a mas gente. Tambien comprobe por www.virustotal.com, que era detectado por otros antivirus.



Gracias a la comunicación de "msc hotline sat", del 19 de Agosto y a la utilidad de Hispasec, a la que hece referencia he podido desinfectar los archivos, no solo los indicados como canciones o videos digamos "normales", sino los audios y videos existentes en algun que otro juego que tenía instalado.



Lo que ya no se, por que todavia no me ha dado tiempo, es si volveran a inferctarse o no, ya que desconozco si ese programa elimina el virus como tal o solo desinfecta los archivos. ¿si alguien lo sabe? le agardeceria que lo dijese y si no elimina el virus ¿cual sería la forma de hacerlo?. Esperare un tiempo a ver si se vuelver a infectar.



Saludos y gracias por la información

[msc hotline sat]

Lo que se ha hecho ha sido eliminar esta infección, no el riesgo de volverse a infectar, no hay vacuna para ello, solo vale el sentido comun de los usuarios y no descargar ni abrir codecs nuevos, ficheros desconocidos, ni entrar en webs desconocidas, ni pulsar en links o incluso en mails llegados de cualquier parte, etc. etc.

SI quiere asegurar que no le quede nada ahora, lance este AV ONLINE y posteenos el informe resultante:

Kaspersky Security Scan

NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.


(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)

saludos

ms, 22-09-2008