virus msn que desactiva nod32, administrador y boton ejecuta

[hola-2]

HOLA un contacto de msn ha recibido de un tercero un archivo llamado imagenPRIVADA4.rar y ahora se desactivo el Nod32, la opcion restaurar sistema, las funciones de inicio/ejecutar, el antivirus Kasperky online al 70 %/ no encontraba nada pero se ralentizaba y no finalizaba, la opcion arancar en modo seguro no le va con F8, aunque no se si poruqe nole funciona con motivo del virus o porque no lo hace bien ( la opcion Safeboot no la puede usar). tampoco le funciona el msncleaner actualizado, asi como el cleaner.



El log de ELISTARA.BDAAB%D8%D8H.EXE y EliBagle v11.96 es el siguiente:



Sat Nov 15 11:15:02 2008

EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\PROGRA~1\BANDOO\BNDHOOK.DLL --> Eliminado



Sat Nov 15 11:15:54 2008

EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP



Sat Nov 15 11:25:31 2008

EliBagle v11.96 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



que deberiamos hacer, muchas gracias

[lucl]

Si teneis localizado el archivo imagenPRIVADA4.rar lo primero de todo cambiarle la extension final por .VIR y enviarlo para que lo analizemos y daros la herramienta necesaria para eliminarlo, saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y actualizar el pc que falta el sp3 y es muy importante saludos

[hola-2]

hola de nuevo , he dado enviar muestra, auqnu eno he leido por ningun sitio que el envio se ha realizado,

esos dos archivos enviados (cc.vir y imagenPRIV.virADA4(1).vir) los he analizado en mipc con kaspersky 2009 y no dio nin gun virus.





revisado con antivirus online Jotti dice esto:

PARA EL CC.VIR

Service load: 0% 100%



File: cc.vir

Status: INFECTED/MALWARE

MD5: 5fdf5fced86d389686f0f0ecb6007add



A-Squared Found Virus.Win32.Delf.m!IK

AntiVir Found DR/Delphi.Gen

ArcaVir Found nothing

Avast Found Win32:Rootkit-gen

AVG Antivirus Found nothing

BitDefender Found Trojan.Slenfbot.Gen.1

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

G DATA Found Win32:Rootkit-gen

Ikarus Found Virus.Win32.Delf.m

Kaspersky Anti-Virus Found nothing

NOD32 Found Win32/AutoRun.Agent.BC







PARA EL imagenPRIV.virADA4(1).vir

ES EL MISMO ARCHIVO QUE EL ANTERIOR SOSLO QUE LO RECIBIO DOS VECES,



Service load: 0% 100%



File: imagenPRIV.virADA4(1).vir

Status: INFECTED/MALWARE

MD5: d5d83e4406ee3c446785534f8fe68a66

Packers detected: Analyzing...



A-Squared Found Virus.Win32.Delf.m!IK

AntiVir Found DR/Delphi.Gen

ArcaVir Found nothing

Avast Found Win32:Rootkit-gen

AVG Antivirus Found nothing

BitDefender Found Trojan.Slenfbot.Gen.1

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

G DATA Found Win32:Rootkit-gen

Ikarus Found Virus.Win32.Delf.m

Kaspersky Anti-Virus Found nothing

NOD32 Found Win32/AutoRun.Agent.BC





SE

[msc hotline sat]

Pues fijate que NOD32 dice detectar en ambos ficheros, este::



NOD32 Found Win32/AutoRun.Agent.BC



que por el nombre puede ser un virus que se propague por pendrive...





Aparte de enviarnoslos todos para analizar, sugiero vacunes ordenadores y pendrives con el ELIPEN:



http://www.zonavirus.com/descargas/elipen.asp



Tras ello postearnos el contenido de c:\infosat.txt, con un copiar y pegar, para ver el resultado del proceso.



saludos



ms, 15-1-2008

[hola-2]

Hola de nuevo, no se si se habeis recibido los archivos ( a,bos son el mismo recibido dos veces, y que la persona que los recibio, por error los cambio de nombre, hice que me los enviara a ami y desde mi pc yo os lo envio, pero le doy a enviar muestra y sigo sin saber si lo habeis recibido o no.



El contacto ese de EEUU asi que son 9 horas de diferencia con respecto a España.

Anoche pudo entrar en modo seguro en red, y el Kasperky se quedaba colgado al 50 %, sin detectar nada. Se ha usado el RESTAURAR PUNTO ATNERIOR_Elrstrui.exe pero cuando queire realizar la restauracion le pide permiso del administrador, tanto para eso como para cualqueir opcion del regedit. Msncleaner y cleaner sigue sin funcionar.



Saludos.

pd. como se sabe que el envio de muestras enviados se ha realziado correctamente¿



gracias

[msc hotline sat]

Hoy SATINFO está cerrado, claro, pero mañana cuando entremos a trabajar se descargaran todas las mustras recibidas y se analizarn y controlaran, como siempre, de lo cual informaremos



saluds



ms,. 16-11-2008

[hola-2]

alguna respuestas a la sprenguntas anteriores

gracias

[msc hotline sat]

Si has probado las versiones actuales de ELISTARA y ELITRIIP y no lo eliminan, es que posiblemente no recibimos las muestras que te pediamos enviaras para analizar



Repite el envio, pues por la migracaion de server 2003 a server 2008, hubo unos dias que desde zonavirus no se enviaban las muestras...



Y recuerda:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

___________


[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos


[/quote]



saludos



ms, 21-11-2008

[hola-2]

Pueden cerrar el tema, el usuario del pc lo envio a formatear.

Muchas gracias por todo

[msc hotline sat]

Pues dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 2-12-2008