Virus imposible de eliminar,problemas con actualizaciones(S)

[Magic Boo]

Buenas, a ver si alguien me echa una mano porque lo he probado todo y no consigo resolver mi problema.



Tengo windows vista original los problemas empiezan cuando arranco el ordenador. El Avast me detecta varios archivos llamados Wpad(1).htm, wpad(2).htm en la carpeta de archivos temporales infectados con el virus VBS:Malware-gen de tipo gusano. Los elimino y continan los problemas, Windows no puede descargar actualizaciones, el defeneder no descarga definiciones, el Ad-aware, no puede actualizarse, y a algún otro programilla le ocurre lo mismo.



He probado a escanear en modo seguro con avast, he pasado el ad-aware actualizado (descargue la actualización en otro ordenador). he pasado el superantispyware, spybot, ccleaner, incluso una utilidad que encontre "flash desinfector" que no se muy bien lo que hacía pero por lo que leí dejaba el archivo autorun.inf a 0. También he intentado solucionar lo de las actualizaciones siguiendo los pasos de la web de microsoft pero no me soluciona nada.



En cuanto vuelvo a encender el ordenador comienza todo de nuevo.



Bueno si a alguien le ha ocurrido y sabe como solucionarlo le estaré muy agradecido.



Un saludo a todos y gracias.

[Magic Boo]

Por cierto se me olvidaba decir que uso Firefox porque si uso el explorer reaparece el virus, tarda mucho (más de lo que es normal para explorer) en cargar las paginas y muchas veces el ordenador se me queda como tonto durante medio minuto, el esplorador no responde y no funcionan ni las barras de desplazamiento lateral. Además muchas veces cuando escribo una dirección web, el avast me avisa de que tengo virus y me da la opción de abortar la conexión indicando virus al intentar acceder a http://wpad/wpad.dat.



En fin lo dicho si alguien me ayuda se lo agradeceré mucho



Saludos

[msc hotline sat]

A pesar de usar VISTA, al que no damos soporte en este foro, dado que el problema dice que es de virus, lance este AV ONLINE y analizaremos el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)





saludos



ms, 14-09-2008

[Magic Boo]

Hola de nuevo,



Antes de nada gracias por la rápida respuesta.



He intentado lanzar el antivirus desde el explorer porque desde firefox no me deja y despues de instalar la aplicacion (el active X) comienza a descargar la actualización y una vez que ha descargado todos los archivos aparece una ventana diciendo que ha sido imposible actualizar la base de datos y que reinstale el programa. En la ventana del antivirus pone lo siguiente:



Espere mientras se actualizan las bases...

descargando desde url: ftp://downloads1.kaspersky-labs.com

Descargando archivo remoto: master.xml

Some components are damaged or not present. Please reinstall the application!



y debajo pone fallo en la actualización.



Bueno, seguiré investigando a ver si puedo hacer algo.

[msc hotline sat]

Posiblemente tienes un virus infector residente que te está modificando los ejecutables que lanzas del AV ONLINE.



Arranca en modo seguro con funciones de red y asi podrás lanzarlo sin que entre en funcionamiento el virus y te infecte. Posiblemente será un VIRUT, que es el que prolifera actualmente en plan de infeccion, o cualquier otro de los infectores, claro.



Pues tras ello, nos posteas el informe resultante, y obraremos en consecuencia



saludos



ms, 15-09-2008

[Magic Boo]

Creo que he descubierto el problema. :!:



De vez en cuando el avast me decía que la pagina wpad.htm estaba infectada y me pedía abortar la conexión. Buscando en internet algo sobre Wpad.htm he encontrado información sobre algo que oí hace unos meses pero no lo había pensado en ello hasta ahora.



Se trata de la vulnerabilidad que detecto Dan Kaminski sobre los servidores DNS, lo que hace esta vulnerabilidad en pocas palabras y de forma muy simplificada es que cuando intentamos acceder a una pagina el servidor nos envíe a otra. Aunque de este modo nos dariamos cuenta rápido de que algo no va bien. A mi me iba todo bien pero el problema era cuando el ordenador intentaba actualizarse y también mientras navegaba por alguna web. Pero resumiendo hay más información en esta pagina: http://www.rompecadenas.com.ar/articulos/2016.php



en esa pagina hay un enlace a la pagina de Kaminki en la que podemos comprobar si nuestra DNS puede ser vulnerable y por lo que dicen lo más probable es que nos digan que lo es. La solución es cambiar la DNS por una que este fuera de peligro. Se puede hacer tal como lo explican en http://www.opendns.com/



Yo he seguido los pasos y despues de reiniciar (no se si era necesario) windows me ha dicho que hay 23 actualizaciones listas para descargar, el ad aware también ha funcionado y se ha actualizado.



Así que en realidad no se trataba de un virus pero dejo la información por si le sirve a alguien en el futuro. De todas formas el Av online todavía no funciona así que lo intentaré el modo seguro tal como me dices porque puede que también tenga algún virus como los que has descrito como el Virut.



Muchas gracias msc hotline sat por tu ayuda y si tengo alguna novedad o el problema continua volveré a escribir.



Saludos

[msc hotline sat]

Celebramos que te haya ido bien, aunque no sea ya actual tu informacion, primero porque la vulnerabilidad indicada en servidores de DNS ya ha sido comentada en este foro:



https://foros.zonavirus.com/las-importantes-vulnerabilidades-de-los-servidores-de-dns-t25492.html



y en segundo lugar por estar los supuestos servidores utilizados por OPENDNS en tela de juicio:



http://www.kriptopolis.org/adios-opendns?page=1



En definitiva lo que has hecho ha sido cambiar tus servidores de DNS por estos:





DNS utilizados por OPENDNS :



208.67.222.222 US United States CA California San Francisco 94105 37.7898 -122.3942 OpenDNS, LLC OpenDNS, LLC 807 415

208.67.220.220 US United States CA California San Francisco 94105 37.7898 -122.3942 OpenDNS, LLC OpenDNS, LLC 807 415



Lo cual, dado lo indicado, preferimos no hacer, sino usar los que indique cada ISP (el proveedor de servicios de internet contratado), lo cual repetidamente aconsejamos en este foro cuando vemos que los servidores usados son maliciosos (como los tan tristemente famosos de Ukraina)



No llegamos a saber, al no utilizar nuestras herramientas, si los servidores que tenías configurados en el registro, eran sospechosos o incluso maliciosos, como tantas veces hemos visto en los logs y hemos hecho cambiar, como se hubiera hecho en tu caso, pero con las IP de Servidores DNS indicados por tu ISP, no estos que ahora usas, con lo cual has salido del fuego para ir a parar a ... donde ellos han querido.



Te recomendaría configuraras los que te indique tu ISP, pero ello queda a tu criterio, y piensa que los servidores de DNS te pueden llevar al huerto... , bueno creo que despues de tus experiencias ya lo has visto



Agradecemos tus comentarios al respecto, y dejamos tu información porque es interesante que se recuerde dicha vulnerabilidad, si bien ha de irse con cuidado y no confiar demasiado en utilidades bajadas de internet, que en algun caso pueden sacarte de un problema para ir a parar a otro :roll:





y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 16-09-2008