creo que tengo un virus

[mik]

hola buenas, la verdad es que soy un poco bastante novato en el tema de los virus, pero vamos con mi consulta, uso el antivirus avast y hace un tiempo me sale una pantalla que dice que no tiene suficiente espacio de almacenamiento para actualizar, con esto he intentado pasar algun antivirus online pero se firefox se cierra cuando empieza la busqueda de virus. la verdad es que estoy preocupado porque no encuentro manera de saber que le pasa y lo uso casi a diario para trabajo, ante cualquier ayuda gracias.

[lucl]

Algunos antivirus tienen un apartado donde puedes limpiar temporales. En el avast no se la verdad, si quieres indaga un poco y cuando veas limpiar temporales hazlo pero en las propiedades de tu antivirus ok?. Lo que si es raro es que no puedas pasar ningun online. Prueba estos dos antitrojanos que te indico por si acaso y nos pegas el log que te dejaran en C infosat.txt





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



Los descargas, los ejecutas y listo saludos

[mik]

pues nada lucl en avast no encuentro para eliminar temporales y he pasado los dos antitrojanos que me dejaste, he intentado pasar el panda online y cuendo va a empezar a analizar el pc me cierra la pagina y todas las pestañas que pueda tener abiertas, este es el log que me ha dejado el antitrojano...



Fri Jan 09 00:59:19 2009

EliTriIP v5.42 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4800

Nº Total de Ficheros: 52493

Nº de Ficheros Analizados: 18633

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



si se te ocurre alguna otra cosa gracias

[julibaga]

Te falta pasar el elistara y pegar el log.



Salu2

[msc hotline sat]

Y como que el AVAST tiene un falso positivo ya conocido con el ELISTARA, mejor que no esté presente cuando lo quieras descargar y probar, por lo cual arranca en modo seguro con funciones de red y asi no incordiará



Luego nos posteas el c:\infosat.txt , gracias



saludos



ms, 9-1-2009

[mik]

pues nada he pasado el elistara en modo seguro y me ha dejado esto



Fri Jan 09 15:54:48 2009

EliStartPage v17.75 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4802

Nº Total de Ficheros: 52317

Nº de Ficheros Analizados: 19749

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



despues he probado a pasar el panda online y me sigue cerrando todo y porsupuesto cada vez va mas lento



saludos

[msc hotline sat]

Pues lanza este AV ONLINE y posteanos el informe resultante:



AV ONLINE:



Usar este en ingles, pues hay problemas con el castellano:



http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludos



ms, 9-1-2009

[mik]

imposible he intentado instalar java y no me deja de ninguna manera por los tanto no puedo pasar el av.

antes de ver tu respuesta he pasado el panda online en modo seguro y me ha dejado dandome como resultado esto



Resultados: No se detectaron virus ni spyware.

Sospechosos: 1 archivo sospechoso detectado y enviado.

Vulnerabilidades: 14 vulnerabilidades detectadas.



luego he vuelto ha pasar el panda en modo normal y me sigue cerrando la pagina cuando empieza a analizar.



ayuda por favor



saludos

[julibaga]

intenta esto:

Inicio -> Ejecutar

Le pones: msconfig y le das a Enter

Te abrirá una pantalla en el tabulador "General"

Seleccionas Inicio Selectivo y desmarcas todas las casillas siguientes. Te va a quedar el BOOT.INI original activado.

Aceptas y reinicias el sistema.

Al iniciar te va a salir una pantallita en amarillo (si mal no recuerdo) para que elijas sí o no. Le das a Sí.

Luego intentas pasar el antivirus on line a ver si te deja hacerlo.

Una vez puedas hacerlo, vuelves a ejecutar el msconfig y seleccionas el Inicio Normal y vuelves a reiniciar.

Espero que esto te ayude a solucionar el problema, entre tanto esperamos tus noticias para saber el resultado y "proceder en consecuencia" (como dice mi amigo msc), seguiré investigando para poder ayudarte.



Salu2

[msc hotline sat]

Y dices que lo analizaste con el Panda y salió el mensaje:



[b][i]Sospechosos: 1 archivo sospechoso detectado y enviado.[/i][/b]



aclaranos, nos enviaste este fichero sospechoso o dicho antivirus lo envió a Panda, porque si es asi de nada nos sirve y poco podremos hacer...



saludos



ms, 10-1-2009

[mik]

PERDON POR NO CONTESTAR PERO HE ESTADO DE VIAJE DE TRABAJO.

BUENO AL TEMA, LO PRIMERO AL PASAR EL AV ONLINE DE PANDA ME DIO ESE MENSAJE Y YA NO SE NADA MAS DEL TEMA NI ME DIO NINGUNA OPCION.

POR OTRO LADO CON LA CONFIGURACION DE MSCONFIG NO ME SALE NINGUNA PANTALLA COMO ME INDICAS Y ADEMAS NO ME DEJA ACCEDER A INTERNET CON ESTA CONFIGURACION, NO SE SI ME LA BLOQUEA EL AVAST POR QUE ME DA UN MENSAJE DE BLOQUEO.

POR OTRA PARTE CUANDO EMPEZE A NOTAR COSAS RARAS AVAST NO ME ACTUALIZABA Y ME DA ESTE MENSANJE...



Información sobre la actualización actual:

Último error encontrado: Espacio de almacenamiento insuficiente para procesar este comando.



ADEMAS ANTES ME CERRABA LA PAGINA DE FIREFOX CUANDO INTENTABA PASAR EL AV ONLINE PERO AHORA ME CIERRA CUALQUIER PAGINA QUE ESTE VIENDO E INCLUSO LAS HOJAS DE WORD Y EXCEL CUENDO ESTOY TRABAJANDO.

ESPERO QUE CON TARDEIS EN VOLVER A CONTESTARME TANTO COMO YO Y MUCHAS GRACIAS.

[julibaga]

Me huele a Bagle, pero a ver qué opina msc y continuamos.



Salu2

[mik]

MIL MILLONES DE GRACIAS A VER SI POR FIN DAMOS CON EL PROBLEMA

[msc hotline sat]

Insufcientes datos para opinar..., si nos dijera que no puede arrancar en modo seguro, o que le desactiva el antivirus residente, pero no he visto que lo dijera, de todas formas, para atender a la corazonada de julibaga, pruebe el ELIBAGLA y saldremos de dudas:




[quote="para descargar el ELIBAGLA, msc"]


http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 15-1-2009

[mik]

hola, siento mucho no poder dar mas informacion solo puedo comentar los problemas que me da pero bueno esta me ha dejado el elibagle





Fri Jan 16 19:16:07 2009

EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)

-----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Jan 16 19:16:12 2009

EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)

-----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

0867_PROFESSOR'S BRAIN TRAINER, THE - MEMORY(????? ??)(EU)(INDEPENDENT).ZIP -> Bagle

Nº Total de Directorios: 4922

Nº Total de Ficheros: 53083

Nº de Ficheros Analizados: 11667

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



saludos

[msc hotline sat]

Pero es un zip, no esta en uso, de todas formas añadele la extension .VIR



Y para ver si hay algo mas, lanza este AV ONLINE y posteanos el informe resultante:







http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de



Java actualizada, a la izquierda de la ventana que presenta dicho acceso,



ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello



es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludos



ms, 16-1-2009

[mik]

ya probe con el av 0nline que me dices pero sigue sin dejarme instalar java me da un mensaje que dice...

fallo en desempaquetado rt

no se si podre instalar java desde otro sitio

gracias un saludo

[julibaga]

Intenta desde www.java.com



Salu2

[mik]

HE PROBADO A INSTALAR JAVA DE CIEN MILLONES DE FORMAS O MAS PERO NO ME DEJA ME SIGUE DANDO EL MISMO FALLO MALDITO DE DESEMPAQUETADO Y NO SE POR QUE PERO EN LA PAGINA DE JAVA TARDA CERO COMA EN DESCONECTARME DE INTERNET.

A VER SI SE PUEDE HACER OTRA COSA



GRACIAS UN SALUDO

[msc hotline sat]

REevisando tu Tema, hay dos cosas nque dices:


[quote]no tiene suficiente espacio de almacenamiento para actualizar, con esto he intentado pasar algun antivirus online pero se firefox [/quote]

En primer lugar, mira que tengas suficiente espacio en disco duro... Cuantos GB tienes libres ???



Y luego, prueba el AV ONLINE con el Internet Explorer, no con el firefox !!!



saludos



ms, 21-1-2009

[mik]

vale gracias, tengo mas de 11 gb libres

el av online cual paso? el panda porque no puedo instalar java

saludos

[mik]

he pasado el panda online con internet explorer y cuando empieza a analizar me sale esta pantalla



microsoft visual c + + runtime library

runtime error!

program: c:/archivos de programa/internet explorer/iexplore.exe

abnormal program termination



paso el av online en modo seguro y cual pruebo



gracias, un saludo

[msc hotline sat]

Si no puede con el de Kaspersky, pruebe con el de McAfee:



http://es.mcafee.com/root/runapplication.asp?appid=73



saludos



ms, 21-1-2009

[julibaga]

msc te envío información en privado al respecto de esto. A ver qué opinas.

[mik]

a que te refieres con informacion en privado es que soy novato en los foros



gracias

[julibaga]

Le envié una información en privado a msc para que la considere si procede.

Te informaremos al respecto.

[msc hotline sat]

Recibida tu informacion, gracias julibaga !



Haciendo referencia a un determinado nuevo virus(KLOMP), por si fuera el caso, prueba el SPROCES y nos posteas el informe resultante:




[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 22-1-2009





NOTA: Y dinos si navegas con el I.E. y si lo haces con normalidad, gracias. ms.

[msc hotline sat]

A título de informacion sobre el KLOMP antes comentado:


[quote="ThreatExpert"]


[b][i][u] "klomp.exe": [/u][/i][/b]



Across all ThreatExpert reports, the file "klomp.exe" has always been identified as a threat.



File "klomp.exe" has the following statistics:

Total number of reports analysed 403,687

Number of cases that involved the file "klomp.exe" 6

Number of incidents when this file was found to be a threat 6

Statistical volume of cases when "klomp.exe" was a threat 100%



Notes:

Please note that the name of the file should NOT be used to define if it is legitimate or not. Such determination can only be made by observing its dynamic behaviour.

In order to check a file, please submit it to ThreatExpert.

For a quick sanity check of your system, please run ThreatExpert Memory Scanner.

For a comprehensive pro-active protection against threats, please consider ThreatFire - our behavioral antivirus solution.





The file "klomp.exe" is known to be created under the following filename:

%System%\klomp.exe



Note: %System% is a variable that refers to the System folder. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).





The following threats are known to be associated with the file "klomp.exe":

Threat Alias Number of Incidents

Troj/Vundeb-A [Sophos] 24

Trojan-Downloader.Win32.Agent.aukz [Kaspersky Lab] 24

Downloader-BMO [McAfee] 6

Trojan-Downloader.Agent!sd6 [PC Tools] 6

TrojanDownloader:Win32/Qibongi.A [Microsoft]
[/quote]

Fuente ThreatExpert

[msc hotline sat]

Tras un ultimo privado de julibaga, añado:



Al parecer dicho virus KLOMP (que no sabemos si es lo que tienes) crea dos claves en el registro que afectan a la navegacion, y que no son restauradas por algun antivirus:


[quote]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe



y



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe[/quote]
Por esto pido que nos poste el informe generado por el SPROCES, a ver si las vemos, y en cualquier caso, con un inicio-> buscar -> Todos los ficheros y careptas, vea si encientra un KLOMP.EXE , y en tal caso envienoslo para analizar y controlar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 22-1-2009

[msc hotline sat]

Y hablando con los programadores, el ELISTARA si no elimina esta clave, como que parece ser parte de una de DEBUGUER, avisará como sospechoso, pero hoy añadiremos que si se intenta debuguear un KLOMP.EXE, aunque no haya el fichero, elimine dicha clave, como hacemos en otros muchos casos similares.



Ademas, en la version 17.85 de hoy de dicha utilidad, incluiremos la solicitud de muestr del KLOMP.EXE de la carpeta de sistema, aparte de moverlo a la carpeta de muestras.



Por ello ademas de lo ya indicado, le pedimos que pruebe el ELISTARA y a ser posible, el de esta noche, en el que ya habremos implementado dichos cambios



saludos



ms, 22-1-2009