no funcionan accesos directos y el outlook va mal (SOLVED)

[ketinporta]

antes que nada buenos dias, ya habia accedido a este foro para consultar sobre otros virus que habían infectado mi maquina con excelentes resultados, pero con este no encontre solución.



Bien los problemas son los siguientes.

En la pc de mi trabajo no se pueden abrir los accesos directos del escritorio, ni del menu inicio unicamente puedo acceder a los programas a traves de los ejecutables directamente mediante el explorador de windows en su ubicación orignal.



El internet explorer muestra un mensaje de error diciendo que la pagina no esta disponible, cuando se quiere acceder a cualquier tipo de paginas, el firefox anda bien por suerte.



El outlook express muestra mensajes vacios con todos los datos del mensaje adjuntos.



ya probe con el dr. web scanner, con el elistara el elibagle y el eli trip, el primero, cuando intenta restaurar registros del sistema, se cuelga. el dr web anda borro algunos virus, pero se cuelga llegado un determinado punto.



Desde ya agradezco mucho todas las respuestas y la ayuda que me puedan dar y la que ya me han dado. Exitos!



Mauricio

Rosario, Argentina

[ketinporta]

aqui va el informe del infosat.txt





Wed Nov 05 10:34:11 2008

EliStartPage v17.33 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado



Thu Nov 06 07:38:50 2008

EliTriIP v5.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\SETUP.EXE.Muestra EliTriIP v5.21

a "virus@satinfo.es". Gracias.

C:\SETUP.EXE --> Eliminado

No detectado SP3 de Windows XP



Thu Nov 06 07:39:15 2008

EliTriIP v5.21 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Nov 06 07:55:20 2008

EliStartPage v17.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.



Thu Nov 06 07:59:58 2008

EliBagle v11.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Nov 06 08:00:01 2008

EliBagle v11.93 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Nov 06 08:01:19 2008

EliStartPage v17.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.



Thu Nov 06 09:55:38 2008

EliStartPage v17.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.



Thu Nov 06 10:26:53 2008

EliStartPage v17.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.



Thu Nov 06 10:46:54 2008

EliStartPage v17.34 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "LOADPOWERPROFILE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe

a "virus@satinfo.es". Gracias.

[flacoroo]

mandanos las muestras que se te piden, las comprimes y ahi mismo le pones las contraseña virus y lo envias a zonavirus@satinfo.es para que se examinen los archivos y se actualice los Elis.....



C:\WINDOWS\SYSTEM32\Rundll32.exe

C:\Muestras\SETUP.EXE.Muestra EliTriIP v5.21

[ketinporta]

el fihero rundll32.exe no existe... en cambio hay uno de nombre rundll32.dll, igualemente ya estoy mandando la muestra del setup.exe

[msc hotline sat]

No es posible que no exista el fichero RUNDLL32.EXE en la carpeta de sistema, ya que inicialmente es del sistema...



Mira que no sea que este oculto:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y envianoslo cuando lo encuentres. Tenemos que controlarlo ya que en tu caso es presuntamente un malware que ha sustituido al original.



saludos



ms, 6-11-2008

[ketinporta]

Los archivos fueron mandados, fue un error de interpretación mio en la descripción del archivo que da windows, confundí el ejecutable con la descripción del archivo. Saludos y muchas gracias por la atención!

[msc hotline sat]

Recibido el SETUP.EXE, indica ser un SETUP de un kit de herramientas de Microsoft, pero que al estar en la carpeta principal en lugar de en un subdirectorio, era sospechoso. No importa, ahora ya está movido a cuarentena y no se detectará mas. Si quieres puedes borrarlo, pues ya estará instalado...





Pero envianos el fichero que decías y que te pedimos:



Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\Rundll32.exe



y si no lo ves, mira que no esté oculto, pero de estar, está , ya que es la utilidad que abre las DLL...



saludos



ms, 6-11-2008

[ketinporta]

el rundll32.exe ya fue enviado! saludos!

[lucl]

Mañana te diran algo al respecto estate atento al post, saludos

[ketinporta]

muy buenos días!, por si les sirve de algo, paso los dos informes emitidos por el ewido en el día de ayer y el de hoy, dado que en el dia de hoy encontre otro problema que luego de correr el ewido parece haberse solucionado, cuando ponia algo en la barra de direcciones o en el formulario de alguna pagina, escribia bien el 1er caracter y el resto al reves, o sea de izquierda a derecha. Saludos!



---------------------------------------------------------

ewido security suite - Report de exploración

---------------------------------------------------------



+ Creado en: 09:54:24 a.m., 06/11/2008

+ Report-Checksum: 66CD2291



+ Scan result:



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\1kwkr5nq.default\Cache\04394349d01 -> Heuristic.Win32.AVKiller : Limpio con backup

C:\Documents and Settings\Usuario\Escritorio\ELIBAGLA.ADAABØØH.EXE -> Heuristic.Win32.AVKiller : Limpio con backup

D:\Archivos de programa\Yahoo!\Messenger\ycomp.dll -> Spyware.Yahoo : Limpio con backup





::Fin Report



---------------------------------------------------------------------------------------------------------------------------------------------------



---------------------------------------------------------

ewido security suite - Report de exploración

---------------------------------------------------------



+ Creado en: 07:32:31 a.m., 07/11/2008

+ Report-Checksum: 8B43D395



+ Scan result:



C:\Documents and Settings\Usuario\Cookies\usuario@atdmt[2].txt -> Spyware.Cookie.Atdmt : Limpio con backup





::Fin Report

[msc hotline sat]

Pues que mal !



Un falso positivo del ewido se cargÓ NUESTRO ELIBAGLA... a pesar de que en el VIRUS TOTAL nadie lo detecta, pero la heuristica se presta a falsos positivos, como ha sido el caso:



File Acceso_directo__4__a_EliBaglA.exe received on 11.07.2008 11:48:34 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED





Result: 0/36 (0%)



Antivirus Version Last Update Result

AhnLab-V3 2008.11.7.1 2008.11.07 -

AntiVir 7.9.0.26 2008.11.07 -

Authentium 5.1.0.4 2008.11.07 -

Avast 4.8.1248.0 2008.11.06 -

AVG 8.0.0.161 2008.11.07 -

BitDefender 7.2 2008.11.07 -

CAT-QuickHeal 9.50 2008.11.07 -

ClamAV 0.94.1 2008.11.07 -

DrWeb 4.44.0.09170 2008.11.07 -

eSafe 7.0.17.0 2008.11.06 -

eTrust-Vet 31.6.6198 2008.11.07 -

Ewido 4.0 2008.11.06 -

F-Prot 4.4.4.56 2008.11.06 -

F-Secure 8.0.14332.0 2008.11.07 -

Fortinet 3.117.0.0 2008.11.07 -

GData 19 2008.11.07 -

Ikarus T3.1.1.45.0 2008.11.07 -

K7AntiVirus 7.10.518 2008.11.06 -

Kaspersky 7.0.0.125 2008.11.07 -

McAfee 5426 2008.11.06 -

Microsoft 1.4104 2008.11.07 -

NOD32 3593 2008.11.07 -

Norman 5.80.02 2008.11.06 -

Panda 9.0.0.4 2008.11.06 -

PCTools 4.4.2.0 2008.11.06 -

Prevx1 V2 2008.11.07 -

Rising 21.02.42.00 2008.11.07 -

SecureWeb-Gateway 6.7.6 2008.11.07 -

Sophos 4.35.0 2008.11.07 -

Sunbelt 3.1.1783.2 2008.11.05 -

Symantec 10 2008.11.07 -

TheHacker 6.3.1.1.143 2008.11.07 -

TrendMicro 8.700.0.1004 2008.11.07 -

VBA32 3.12.8.9 2008.11.06 -

ViRobot 2008.11.7.1457 2008.11.07 -

VirusBuster 4.5.11.0 2008.11.06 -

Additional information

File size: 550 bytes

MD5...: 85161d42bd96a40cbc2e308cdbb4d564





Pues nada, ni tiene ya virus ni nuestra utilidad, pero es que con estos amigos, no le hacen falta enemigos ...



Damos por solucionado el Tema y procedemos a cerrarlo



saludos



ms, 7-11-2008