AYUDA CON VIRUS QUE NO PERMITE USAR ELISTART (SOLVED)

[deg]

Hola buenas tardes espero me puedan ayudar con un virus que tengo el cual me pasaron por una ubs infectada, el virus en cuestion se disfraza como una carpeta con algun nombre como fotos o mis imagenes el caso es que al bajar elistart y tratar de usarlo me dice que el archivo ha sido modificado por un virus probablemente que contacte satinfo que puedo hacer? tambien al iniciarse windows marca un error de esos de enviar informe de errores, y ni en modo seguro puedo usar el elistart agradezco su atencion y su ayuda

[msc hotline sat]

Está muy claro que tiene un virus infector que infecta los ejecutables como el ELISTARA, lo que pasa es que nuestra utilidad tiene comprobacion de integridad y al fallar el checksum, propio de haber sido modificado, indica la anomalía y deja de funcionar para no ser propagadora del virus en cuestión, mientras que los demas ficheros, siguen funcionando e infectando.



Para saber el virus que ha infectado al ELISTARA, posiblemente el VIRUT, ya que es el que está mas de moda de entre los infectores, suba dicha utilidad modificada al VirusTotal, y le dirá el virus que la ha infectado: www.virustotal.com/es



Evidentemente el ELISTARA no es lo adecuado en tal caso, pues es para troyanos y estos no infectan, sino que instalan ficheros totalmente malwares, de arriba a abajo, mientras que el virus que tiene es un infector, o sea que lo que hace es modificar los ficheros EXE existentes de manera que sigan funcionando, si no tienen comprobacion, e infectando, claro.



Pero esto lo debería haber detectado e impedido el antivirus residente, que es con el que debe solucionar el problema, pero ante todo veamos de qué virus infector hablamos.



Tras subir dicho fichero al VirusTotal, posteenos el resultado, gracias (con un copiar y pegar)



saludos



ms, 4-11-2008

[deg]

Análisis del archivo ELISTARA.ACAABH.EXE recibido el 04.11.2008 23:51:03 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO





Resultado: 34/36 (94.45%)

Cargando información del servidor..

Su archivo se encuentra encolado en la posición: 1.

Se estima que tendrá que esperar entre 38 y 55 segundos

hasta el comienzo del análisis.

No cierre la ventana hasta se haya completado el análisis.

El analizador que estaba procesando su muestra se encuentra detenido,

se va a esperar unos segundos por si fuera posible recuperar el resultado.

Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.

Su archivo está siendo analizado por VirusTotal en estos momentos,

los resultados se iran mostrando a continuación.

Compactar Imprimir resultados



La muestra ha caducado o no existe.

El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.



Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.

Email:





Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.11.4.3 2008.11.04 Win32/Virut.D

AntiVir 7.9.0.10 2008.11.04 W32/Virut.U

Authentium 5.1.0.4 2008.11.04 W32/Virut.10496

Avast 4.8.1248.0 2008.11.04 Win32:Virut

AVG 8.0.0.161 2008.11.04 Win32/Virut

BitDefender 7.2 2008.11.04 Win32.Virtob.Gen.9

CAT-QuickHeal 9.50 2008.11.04 W32.Virut.D

ClamAV 0.94.1 2008.11.04 W32.Virut.Gen.C-55

DrWeb 4.44.0.09170 2008.11.04 Win32.Virut.5

eSafe 7.0.17.0 2008.11.04 Win32.Virut.o

eTrust-Vet 31.6.6189 2008.11.04 Win32/Virut.10494

Ewido 4.0 2008.11.04 -

F-Prot 4.4.4.56 2008.11.04 W32/Virut.10496

F-Secure 8.0.14332.0 2008.11.04 Virus.Win32.Virut.n

Fortinet 3.117.0.0 2008.11.04 W32/MetaCrypt.1

GData 19 2008.11.04 Win32.Virtob.Gen.9

Ikarus T3.1.1.45.0 2008.11.04 Virus.Win32.Small.CPR

K7AntiVirus 7.10.516 2008.11.04 Virus.Win32.Virut.Generic

Kaspersky 7.0.0.125 2008.11.04 Virus.Win32.Virut.n

McAfee 5424 2008.11.04 W32/Virut.gen

Microsoft 1.4005 2008.11.04 Virus:Win32/Virut.AF

NOD32 3583 2008.11.04 Win32/Virut.O

Norman 5.80.02 2008.11.04 W32/Virut.N

Panda 9.0.0.4 2008.11.04 W32/Virutas.gen

PCTools 4.4.2.0 2008.11.04 Win32.Virut.Gen.5

Prevx1 V2 2008.11.04 -

Rising 21.02.12.00 2008.11.04 Win32.Virut.aw

SecureWeb-Gateway 6.7.6 2008.11.04 Win32.Virut.U

Sophos 4.35.0 2008.11.04 W32/Vetor-A

Sunbelt 3.1.1777.2 2008.11.03 Win32.Virut.xl (v)

Symantec 10 2008.11.04 W32.Virut.U

TheHacker 6.3.1.1.138 2008.11.04 W32/Virut.q

TrendMicro 8.700.0.1004 2008.11.04 PE_VIRUT.XL-4

VBA32 3.12.8.9 2008.11.03 Virus.Win32.Virut.f

ViRobot 2008.11.4.1451 2008.11.04 Win32.Virut.G

VirusBuster 4.5.11.0 2008.11.04 Win32.Virut.Gen.5

Información adicional

Tamano archivo: 507915 bytes

MD5...: ee08c26564acff43a8f20c61608b3943

SHA1..: 2b737d31719f77f6f57a92f14c0a4de96c5b2bc9

SHA256: 181613cb82b93e67552000ff8139e979b1c0ada8a8065824819d59c35c61d4b8

SHA512: b9ce435f51d3cf4b2434d601981ff84b57ddf8920b9d6ec8bd728dbea921c039

bab8f49c676457b32db475ec85829ab3aeda8f6faa8028d1646e10b010a7403e

PEiD..: -

TrID..: File type identification

DOS Executable Generic (99.6%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.3%)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x593f40

timedatestamp.....: 0xa0a0a0a0L (invalid)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x12b000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x12c000 0x69000 0x68200 7.88 2cca54a6fce0b3ddb66ae25291be9184

.rsrc 0x195000 0x19000 0x13a00 4.26 535310b2a173a542b400ccbf913f2526



( 5 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess

> ADVAPI32.dll: RegEnumKeyA

> MFC42.DLL: -

> MSVCRT.dll: exit

> USER32.dll: IsIconic



( 0 exports )



tengo el kaspersky instalado peor esta caducado por lo cual no he bajado sus actualizaciones como puedo eliminar el virus? por su atencion gracias

[msc hotline sat]

Efectivamente, como ya preveiamos, está infectado por el virus VIRUT:



McAfee 5424 2008.11.04 W32/Virut.gen



Y seguro que tiene tropecientos ficheros EXE infectados con el mismo, aunque solo nuestras utilidades lo denotaron, gracias a la comprobacion de cehcksum que llevan integrada.



Al ser un virus infector, debe desinfectar (no eliminar) los ficheros infectados con un antivirus que lo controle, de los que en el VirusTotal tiene una buena lista.



Evidentemente con el Kaspersky que dice tener instalado, si hubiera estado debidamente actualizado, como con cualquier otro de los 34 de 36 listados, habría evitado infectarse y propagar la infeccion a todos los EXE que ya tiene infectados.



Kaspersky 7.0.0.125 2008.11.04 Virus.Win32.Virut.n



Lo que creo recordar que tiene de malo este virus es que, entre sus caracteristicas, impide arrancar en modo seguro, por lo que lo mas facil, es colocar el disco duro infectado como esclavo de otro ordenador limpio, y con el antivirus del master, limpiar el esclavo, y no hace falta que arranque en tal caso en modo seguro dicho master, al no estar infectado.



Ante todo vea si puede arrancar su ordenador en modo seguro, pùes si asi fuera, sería mucho mas facil, arrancar en modo seguro con funciones de red y lanzar un AV ONLINE que lo controlara y lo pudiera limpiar, como el de CAI:



eTrust-Vet 31.6.6189 2008.11.04 Win32/Virut.10494



ya que los AV ONLINE de McAfee o de Kaspersky solo detectan, pero no limpian.



Pero ya le digo que no creo que pueda arrancar en dicho modo, a no ser que la variante que tiene lo permita...



Informenos del resultado, gracias



saludos



ms, 5-11-2008

[deg]

Si pude arrancar en modo seguro pero el AV de CA no me va, me deja en la pantalla donde selecciono que unidades escanear y me marca un erro en pagina



Linea:696

Car:8

Error: "WScanCtl" no esta definido

Codigo: 0

URL:http://www.ca.com/us/securityadvisor/virusinfo/scan.aspx



tengo algun error en mi java o es de la pag?

estoy intendando el scan del panda haber que pasa, de lo que ocurra les comunico gracias

[msc hotline sat]

Sí, y si el Panda o el que sea le da similar error, instale una version de Java actualizada.



Suerte !



saludos



ms, 6-11-2008

[deg]

ok probare lo del java el panda si corrio y detecto mas de 5k de virus o_O pero al momento de dar en desinfectar la pag se cerro

[deg]

ya instale la ultima version de java y ni asi puedo, y es el unico programa en java que no me deja usar:( = el panda como les comento se cierra cuando quiero limpiar tendree que intentar poniendo los discos duros como esclavos:(

[msc hotline sat]

Efectivamente es una alternativa, aparte de arrancar con un CD de Linux y utilizar el VirusScan para Linux, como lo hacen los asociados a SATINFO, a quienes actualmente se les dan las utilidades en un CD con arranque de LINUX y con dicho SCAN con el que escanear y limpiar el disco duro sin arrancar con él.



Dicho CD está colgado de la web de SATINFO, en una ISO con la que quemar un CD, convirtiendolo en LIVE CD, pero se ha de tener password y login (el de asociado) para descargarlo



Si fuera mucho problema el colocar el disco duro (si fuera el caso de un portatil o notebook de dificl acceso al mismo), podría hacerse un LIVE CD y copiarle una trial de dicho antivirus, lo cual diganoslo si es el caso, pero si lo puede poner como esclavo de un master no infectado, hágalo y nos cuenta el resultado, gracias



saludos



ms, 7-11-2008

[deg]

Pude curar la pc no me fue ni el ca ni el panda pero encontre otro antivirus el Dr.Web me limpio mas de 8k de archivos y ya probe el elistart y ya corre normalmente gracias por los consejos

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 8-11-2008

Ref ME/Pu19.0-98.2