Virus que bloquea los puertos..AYUDAA!! (SOLUCIONADO)

[nadimgawdat]

Hace mas de una semana estoy luchando contra un virus que no me deja en paz.. :( he probado varios antivirus y aunque lo neutralizan, este vuelve sin necesidad de siquiera reiniciar..empezo introduciendo un proceso llamado..cpanele.com y cuando este aparecia Firefox y otros navegadores no podian acceder a internet, tambien ejecutaba un proceso llamado calling.com.. la conexion funciona normal..pues por ejemplo nunca bloquea emule, ni los torrents, si ejecuto el antivirus, la conexion vuelve pero despues de como una hora vuelve a estropear la conexion, espero me puedan ayudar, pues no quiero formatear y volver a ponerle todo al pc, pues acababa de hacerlo.. :roll:

[flacoroo]

bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y cuando diga explorar le das click; hasta que termine; despues nos pegas el resultado de C:infosat.txt



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url] (complemento del elistara, no se ejecuta pero deben estar en la misma carpeta)

[msc hotline sat]

Bueno, me parece que nuestras utilidades aun no controlan este virus al no haber recibido muestras al respecto, por lo que te pedimos que nos envies los siguientes ficheros para analizar:



C:\WINDOWS\system32\cPanele.com

C:\WINDOWS\system32\drive\calling.com



(fijarse que decimos carpeta drive, no driver que es normal en XP...



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Luego renombras su extension a .VIR y tras reiniciar ya no se pondrán en uso



Tras analizarlos y monitorizarlos, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 17-07-2008

[nadimgawdat]

Primero que todo gracias por responder, bueno esa carpeta drive fue borrada por kaspersky en uno de los primeros intentos que hice por eliminarlo, despues de esto se puso mas agresivo e incontrolable, despues de tantos escaneos, esos procesos fueron eliminados y no inician, pero me sigue afectando y ahora es peor pues no se evidencia de ninguna forma, y me acado de dar cuenta que su accion es intermitente, como lo mencione sin reiniciar, pues hace una hora dejo de funcionar el acceso a internet y ahora nuevamente el internet funciona magicamente. gracias de nuevo. :) q debo hacer? debo rendirme pues observo q este virus es bastante incontrolable, y no se sabe lo suficiente al respecto..ah se me olvidaba..los archivos cpanele.com no se encuentran por ninguna parte..o por lo menos no se hacen visibles

[lucl]

Prueba este online y nos pegas el log resultante, saludos





https://www.kaspersky.es/downloads/thank-you/free-antivirus-download

[msc hotline sat]

Y cuidado, pueden tener atributos de oculto y de sistema, aparte de solo lectura (S,H,R).



por ejemplo vemos:



..SHR --- "C:\WINDOWS\system32\cPanele.com"





Puede que por ello no los hayas visto. SIgue lo indicado en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y dinos si los encuentras y nos los puedes enviar, es vital para poder analizarlos y pasar a controlarlos



saludos



ms, 18-07-2008

[nadimgawdat]

Bueno, eso lo intente ayer y no, no estan sin embargo como les comente el virus sigue actuando, seria bueno tambien tener una base de datos de las paginas que contaminan, he oido tambien que bajar imagenes en formato uif de torrents traen virus.. lamento que no les pueda enviar esos archivos para que puedan ayudar a la gente..

[msc hotline sat]

Por si se tratara de RootKits, buscalos arrancando en modo segur0 , pues podría ser que se ocultaran a allos mismos y a otros si estuvieran en uso, y en modo seguro es menos probable que asi fuera.



Y lo de la clasificacion de las webs, para eso está el SiteAdvisor... www.siteadvisor.com



Esperamos recibir dichas muestras para pasar a controlar esta nueva familia...



saludos



ms, 18-07-2008

[nadimgawdat]

Bueno acado de hacer lo que me acaban de recomendar, incluso use un disco live de linux, y no aparecen estos archivos..use Icesword y no encontre nada raro..no se si esto sirva..no se que me puedan recomendar, por que como les comente aunque estos procesos desaparecieron me siguio afectando este dichoso virus, les agradezco sinceramente su interes en ayudar :)

[msc hotline sat]

Pues como ya indicaba lucl anteriomente, pero que parece no has hecho, lanza este AV ONLINE:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta,indicando la utilidad a probar para solucionarlo.



(El kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, dejarlo estar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)



saludops



ms, 19-07-2008

[nadimgawdat]

[color=#FF0000]Aqui va el informe:[/color]



KASPERSKY ONLINE SCANNER INFORME

sábado, 19 de julio de 2008 13:59:27

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 19/07/2008

Registros en la base antivirus: 866635

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

C:\

D:\

F:\

I:\

Estadísticas

Número de objeros analizados 186942

Virus encontrados 0

Objetos infectados 0 / 0

Objetos sospechosos 0

Duración del análisis 02:08:59



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Eset\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\Eset\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\Eset\logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Ahead\Nero Home\bl.db Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Ahead\Nero Home\is2.db Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Identities\{38A98076-F13C-43FA-A487-7E5044F82978}\Microsoft\Outlook Express\Folders.dbx Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Identities\{38A98076-F13C-43FA-A487-7E5044F82978}\Microsoft\Outlook Express\Offline.dbx Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Microsoft\Messenger\trip_ton@hotmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Microsoft\Messenger\trip_ton@hotmail.com\SharingMetadata\pending.dat Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Microsoft\Messenger\trip_ton@hotmail.com\SharingMetadata\Working\database_A6E8_1A5E_E81A_2D55\dfsr.db Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Microsoft\Messenger\trip_ton@hotmail.com\SharingMetadata\Working\database_A6E8_1A5E_E81A_2D55\fsr.log Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Microsoft\Messenger\trip_ton@hotmail.com\SharingMetadata\Working\database_A6E8_1A5E_E81A_2D55\fsrtmp.log Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Microsoft\Messenger\trip_ton@hotmail.com\SharingMetadata\Working\database_A6E8_1A5E_E81A_2D55\tmp.edb Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\trip_ton@hotmail.com\real\members.stg Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\trip_ton@hotmail.com\shadow\members.stg Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Historial\History.IE5\MSHist012008071920080720\index.dat Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Temp\Perflib_Perfdata_b6c.dat Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Temp\~DF9F94.tmp Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Temp\~DF9FCE.tmp Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Temp\~DFB68C.tmp Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Temp\~DFB6FD.tmp Object is locked saltado

C:\Documents and Settings\Al\Configuración local\Temp\~DFBD96.tmp Object is locked saltado

C:\Documents and Settings\Al\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Al\Datos de programa\Babylon\log_file.txt Object is locked saltado

C:\Documents and Settings\Al\Datos de programa\MailFrontier\ASD.log Object is locked saltado

C:\Documents and Settings\Al\ntuser.dat Object is locked saltado

C:\Documents and Settings\Al\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{9A3BC4BE-D0A3-4B49-9D3F-AC5DB43DAAB3}\RP58\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\Internet Logs\ALB-F0E41E29753.ldb Object is locked saltado

C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked saltado

C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked saltado

C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked saltado

C:\WINDOWS\Internet Logs\tvDebug.log Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\dtscsi.sys Object is locked saltado

C:\WINDOWS\system32\drivers\fidbox.dat Object is locked saltado

C:\WINDOWS\system32\drivers\fidbox.idx Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\drivers\sptd8733.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\ZLT0428e.TMP Object is locked saltado

C:\WINDOWS\Temp\ZLT04291.TMP Object is locked saltado

I:\oufddh.exe Object is locked saltado

I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe Object is locked saltado

I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe Object is locked saltado

I:\nideiect.com Object is locked saltado

Análisis completado.

[msc hotline sat]

Pues tal como decías:



[b][i]" bueno esa carpeta drive fue borrada por kaspersky"[/i][/b]



el Kaspersky ya no encuentra dichos malwares que fueron eliminados:



Virus encontrados 0

Objetos infectados 0 / 0

Objetos sospechosos 0



Por tanto si no hay dichos ficheros, ni rastros de los mismos ni los vemos nosotros ni kaspersky...





me voy a cenar, ya pensaré en ello :roll: :wink:

[nadimgawdat]

Bueno ahora creo que esto me ha dejado en paz, pero podria jurar que aun todos esos procesos fueron neutralizados el virus seguia actuacndo intermitentemente..bloqueando el acceso a internet..la carpeta drive la encontre yo mismo, aunque la deje para que los antivirus la nuetralizaran, me di cuenta de todos estos procesos rapidamente, por que lo primero que se manisfesto fue una peticion del fierwall de windows para permitir el acceso a internet de un aplicacion que yo no habia instalado, inmediatamente me di cuenta de que me habia invadido algun virus, y repare que procesos se estaban ejecutando, lo primero que vi fue este famoso "cpanele.com" y bueno ya saben la historia..incluso envie una muestra de la carpeta a los laboratorios de kaspersky pero no obtuve ninguna respuesta, lamento, pues haberles hecho perder el tiempo, pero les aseguro que estaba a punto de formatear otra vez..muchas gracias por su ayuda :)

[msc hotline sat]

Pues celebro haber tomado la decision correcta...



Y no sabiamos que ya hubiera enviado la muestra pedida a kaspersky... SI tiene una copia, envienosla tambien a nosotros, para analizarla y poder ayudar a otros que tengan este mismo problema, o a Vd mismo en un futuro



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Y si tiene algun otro problema, ya sabe donde estamos



Damos este Tema por Solucionado y procedemos a cerrarlo



saludos



ms, 20-07-2008