VIRUS.NO PUEDO ACTUALIZAR ANTIVIRUS NI ENTRAR WEBS VIRUS...

[nachomenen]

Buenas noches.



Tengo el ordenador del trabajo infectado de un virus. Tengo el antivirus PANDA pero no debe habermelo detectado.



No puedo actualizar el antivirus. Tampoco puedo entrar en páginas web de antivirus. Tampoco puedo entrar en vuestra página zona virus (Ahora escribo desde el ordenador de casa). Como puedo limpiar mi ordenador? Es un Bagle?



Agradecería cualquier ayuda.



Muchas gracias. Nacho.

[julibaga]

Pues puedes empezar por pasarle el Elibagla, el Elistara y el Elitriip

http://www.zonavirus.com/descargas/elibagla.asp

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp



Una vez que los pases, copia el log de c:\infosat.txt y pégalo aquí para ver el resultado e indícanos si sigues teniendo el problema.



Salu2

[msc hotline sat]

Y si con lo correctamente indicadio por julibaga, no se detectara nada, podría ser una de los mas de 100 varantes nuevas de cada día... entonces lanza este AV ONLINE y posteanos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]







A la vista de dicho informe, procederíamos en consecuencia



saludos



ms, 16-1-2009

[nachomenen]

He utilizado los tres archivos del primer mensaje. Me ha detectado y eliminado dos virus, pero el virus que me provoca el problema continua activo.



No he realizado lo que indica el segundo mensaje porque desde el ordenador afectado no puedo acceder al link.



Los archivos para eliminar el Bagle y los otros DOS VIRUS han estropeado un sistema de FIRMA ELECTRÓNICA con el cual podía entrar en páginas de hacienda firmar documentos como colegiado, etc...



Que es lo que ha ocurrido? Como puedo repararlo?



Gracias.

[msc hotline sat]

Ante todo posteanos el contenido del c:\infosat.txt , como se te indicaba al principio, para ver el resultado de los procesos de nuestras utilidades.



Veremos los ficheros eliminados, posiblemente tenian cadenas coincidentes con las de los patrones de algunos malwares:



https://foros.zonavirus.com/viewtopic.php?f=5&t=19441



y sobre el problema del virus persistente, puede que se trate de algun ZBOT, invisible actualmente para la mayoría de antivirus, como el que se indica en :



https://foros.zonavirus.com/viewtopic.php?f=5&t=27474&p=151728&hilit=zbot+google#p151728



Has notado si al buscar cualquier cosa con el Google, los links encontrados te llevan a otra parte ???



saludos



ms, 17-1-2009

[pembe180]

amigo sea lo que sea eso...a mi me tiene atacado hace rato..



le cuento, en este mes he formateado 4 veces.

1) no tenia antivirus y comenzo el problema no me dejaba entrar a paginas donde se habla de eliminar virus

2) instale el nod y yucas...lo paso x la gorra ( segunda formatead )

3) instale el avira y paso lo mismo ( tercer formateada )



4) hace 3 horas termine de formatear la pc y no habia instalado antivirus ninguno y me dio x navegar y no podia entrar aqui ni a ninguna otra pagina con temas de virus ni a microsot....apenas instale el kasper 2009 dejo de j**e..

pero yo se q eso sigue hay y lo quiero quitar..



tengo dos discos duros. uno de 160 partido en c y d y otro de 500..



5)ya pase el ELIBAGLA 12.11 y EliTriip 5.45 pero este me lo toma como virus el kasper Elistara??

6)me voy a dormir y dejare la pc prendida haciendo el scan de mi pc y cuando acabe pego lo q me salio...y eso q acabo de formatear.



a mi no me redirecciona a ninguna parte???

:(

[msc hotline sat]

Lo la deteccion de virus en el ELISTARA, ni caso, es un falso positivo, debido a las miles de cadenas de deteccion virica que contiene:



https://foros.zonavirus.com/viewtopic.php?f=5&t=26228



y no entiendo su ultima frase:



[b][i]"a mi no me redirecciona a ninguna parte???" [/i][/b]



pero ya que lo dice, usando el google, busque cualquier cosa y luego pinche en cualquier link que le ofrece, a ver si le lleva al sitio en cuestion ... p es eso lo que ya nos quería decir ??? porque ello descarta un ZBOT que tenbemos entre manos :roll: , pero si es el caso... le busco link del mismo



Ahí está: https://foros.zonavirus.com/viewtopic.php?f=5&t=27474&p=151794&hilit=redirec%2A+google#p151794



saludos



ms, 19-1-2009

[nachomenen]

Buenos días! Siento la demora. El ordenador infectado y el ordenador desde el cual me pongo en contacto con ustedes se ubican en lugares distinto. Os agradezco mucho vuestra ayuda.



Vamos allá! Os adjunto archivo infosat.txt:



[color=#400000] Fri Jan 16 11:53:16 2009

EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)

-----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Jan 16 11:53:49 2009

EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)

-----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1483

Nº Total de Ficheros: 15021

Nº de Ficheros Analizados: 417

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Fri Jan 16 11:54:49 2009

EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)

-----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5363

Nº Total de Ficheros: 125793

Nº de Ficheros Analizados: 9409

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jan 16 12:03:25 2009

EliStartPage v17.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{83517FB4-165A-44DC-8DD1-14A97236A259}" -> C:\WINDOWS\system32\mstmdm.dll

No detectado SP3 de Windows XP

Detectado AUTORUN.INF en la Unidad (C)

open=gpfilq.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Jan 16 12:04:36 2009

EliStartPage v17.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

C:\WINDOWS\system32\APIASN1.DLL --> Eliminado, NetNucleus(BHO/TB)



Nº Total de Directorios: 5363

Nº Total de Ficheros: 125798

Nº de Ficheros Analizados: 24032

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Fri Jan 16 12:18:08 2009

EliStartPage v17.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Detectado AUTORUN.INF en la Unidad (C)

open=gpfilq.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Jan 16 12:18:53 2009

EliTriIP v5.44 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Servicio Eliminado "bkgjkq" -> Conficker

Servicio Eliminado "fktfh" -> Conficker

Servicio Eliminado "ixudrbrxa" -> Conficker

Servicio Eliminado "sansbw" -> Conficker

Servicio Eliminado "stbcrc" -> Conficker

Servicio Eliminado "wlcjgp" -> Conficker

Servicio Eliminado "xqwplaos" -> Conficker

Servicio Eliminado "zcrspaaxq" -> Conficker

No detectado SP3 de Windows XP



Fri Jan 16 12:19:15 2009

EliTriIP v5.44 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5362

Nº Total de Ficheros: 125799

Nº de Ficheros Analizados: 22718

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/color]



- Os recuerdo que ejecuté los tres archivos en busca de BAGLA, TRIIP y STARA. Solo uno ellos me detectó y me desinfectó dos archivos.



- Creo que se trataba de algun FALSO POSITIVO. Mi lector de tarjetas (para firma electrónica) se ha desconfigurado.



- Os recuerdo que el virus me provoca cambios en la configuración del Windows y no me deja acceder a ninguna página antivirus, incluso la vuestra. Y por tanto no puedo realizar lo que me comentais en la segunda respuesta (acceder a un link kaperski para scanear el ordenador).



- Como limpio el virus? Puedo recuperar el FALSO POSITIVO, para activar de nuevo el lector de tarjetas?



Muchas gracias.



Atentamente, Nacho.

[msc hotline sat]

Aparte de lo eliminado, vemos:


[quote]Fri Jan 16 12:18:08 2009

EliStartPage v17.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Detectado AUTORUN.INF en la Unidad (C)

open=gpfilq.exe

Si Desconoce la Aplicación, por favor envienosla[/quote]

Envianos este AUTORUN.INF y el GPFILQ.EXE que lanza para analizar y controlar



(Posiblemente esten ocultos)



Y como que te falta el SP3, y logicamente los posteriores, puede haber entrado el Conficker que se cuela si no hay el MS08-067...



y ademas, el Conficker ha sido detectado en tu ordenador !!! :
[quote]
Fri Jan 16 12:18:53 2009

EliTriIP v5.44 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Servicio Eliminado "bkgjkq" -> Conficker

Servicio Eliminado "fktfh" -> Conficker

Servicio Eliminado "ixudrbrxa" -> Conficker

Servicio Eliminado "sansbw" -> Conficker

Servicio Eliminado "stbcrc" -> Conficker

Servicio Eliminado "wlcjgp" -> Conficker

Servicio Eliminado "xqwplaos" -> Conficker

Servicio Eliminado "zcrspaaxq" -> Conficker

No detectado SP3 de Windows XP[/quote]



Mira lo que se dice en este articulo:



http://www.satinfo.es/web/2009/usb445.html



Y prueba el USB445.EXE

http://www.zonavirus.com/datos/descargas/281/usb445.asp



Y a ver si te sirve como experiencia y aplicas los parches !!!



saludos



ms, 19-1-2009

[nachomenen]

Gracias.



Pero... a donde os envío los archivos?

[pembe180]

aqui si no ando mal...yo envien uno hace poco

https://foros.zonavirus.com/viewtopic.php?f=5&t=24875



amigo la publicidad si me va a donde es??

pasare el kasper a ver q pasa...anoche se fue la luz

[nachomenen]

En breve os enviaré el autorun.inf.



No encuentro el archivo GPFILQ.EXE



Os enviaré el archivo a vuestra dirección con el título del foro y en formato ZIP



Gracias de nuevo.

[msc hotline sat]

uNA VEZ EMPAQUETADO CON PASSWORD VIRUS PUEDE USAR EL BOTON QUE HAY ARRIBA A LA DERECHA Y DICE "ENVIO MUESTRAS"



saludos



ms, 19-1-2009

[DELTORODRIGO]

No tengo la solucion pero quiero poner en claro algunas otras caracteristicas del problema mencionado.



En mi caso concretamente no me permite acceder a ninguna pagina de antivirus ni a paginas de microsoft desde ningun navegador web. windows update, nada.

El problema lo tengo en el PC de mi oficina. Yo me conecto a internet haciendo un enmascaramiento en una maquina linux. es como tener una conexion directa a internet como la que tienes en la casa. Lo curioso es que al conectarme a travez del un servidor proxy (squid - bajo linux) me deja conectar a sin problema cualquier pagina, paginas de antivirus , Micorso todo lo puedo acceder.

Otro cosa Curiosa es que si tu haces un nslookup digamos ala pagina de http://www.kaspersky.com y obtienes la IP de esta direccion y la digitas desde tu navegador te deja acceder. al parecer el virus o el problema que sea que nos esta afectando ataca la parte de DNS.

Agradezco mucho su atencion a este caso que hasta el momento no se le ha visto solucion.

[msc hotline sat]

Si, "DELTORODRIGO" es típico del conficker, del que ya hablamos en post anteriores, mira lo que decimos alli , donde ya damos este link de informacion: http://www.satinfo.es/web/2009/usb445.html



y el fichero que has de enviarnos, aparte del AUTORUN.INF, lo puedes mover a C:\muestras con el ELIMOVER, y desde alli enviarnoslo:



ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



datos a entrar: C:\gpfilq.exe





saludos



ms, 21-1-2009







NOTA:

Aparte, vacuna tu ordenador y pendrives con el ELIPEN:





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



MS.

[pembe180]

listo amigo..encontre la solucion despues de un dia de andar buscandola, microsof saco esta aplicacion, yo la pase y ando limpio ya.. :D :D

igual formatee 4 pc`s y me gane unas lucas jejeje



http://rapidshare.com/files/187934901/windows-kb890830-v2.6.rar

hay te dejo el link...se cuida men

y pasate x aqui para q veas...

http://www.edreams.cl/win32confickerx-wormwin32agentnb-confickera-problema-y-solucion-clean/

chao y suerte

[msc hotline sat]

Tal como te indiqué, se trataba del Conficker !!!



Recuerda que se cuela por falta del MS08-067 , aparte de por comparticiones administrativas al estar en una red con otro infectado (si no se tiene contraseña fuerte) y por pendrive, como ya hemos indicado tantas veces.





Pues celebramos que lo hayas solucionado, y dando por terminado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 23-1-2009