AIE AIE AIE

[Anne-Marie]

[color=#0040FF]Hola buenas noches a todos y todas

Tengo un enorme problema pero no sé muy bien explicarme grrr, resulta que estoy escribiendo y navegando desde el fijo porque mi portatil esta completamente fuera de uso hace una semana resulta que debo de tener un virus que debe de llamarse win32, me desactivo el antivirus avast y impossible acceder desde el a internet no hay manera, entonces impossible buscar ayuda desde el... NO SE QUE HACER estoy completamente perdida

Lo unico que pude hacer es copiar desde este ordenador fijo a un usb el ccleaner y pasarlo a mi portatil. Luego pasé el ccleaner en el portatil y arregló algunos fallos pero... sigue el problema igual :(

Por favor espero que alguien lea esto y que tenga una solucion milagrosa :(

Gracias por adelantado :)[/color]

[Anne-Marie]

[color=#0040FF]Upss soy yo otra vez me olvidé decir que con el portatil me conecto siempre con el wifi y resulta que ahora no encuentra la red inalambrica :(

Gracias por leerme y perdonadme no saber explicarlo mejor :(

Hasta pronto espero :)[/color]

[msc hotline sat]

Bueno, pocas pistas nos das, ya que WIN32 es el prefijo de todos los virus de Windows 32 bits, y son unos cuantos cientos de miles ...



Sin saber lo que sigue, es como decirnos que es un virus, bueno algo es algo, peor sería que no supieramos ni eso, ya que hubiera podido ser problema de hardware... :mrgreen:



A por él, lástima que no tengas acceso a internet, porque lanzariamos un AV ONLINE, pero ya que no, prueba estas tres utilidades y luego nos posteas el contenido de c:\infosat.txt:





[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp





[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp





y por si fuera algo no controlado, prueba el SPROCES y nos posteas el informe resultante, c:\sproclog.txt :




[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 14-2-2009

[Anne-Marie]

[color=#0000FF]muchas gracias por contertar tan rapido :( claro que no doy pistas es que no veo el nombre del virus porque no hay manera de que el antivirus funcione :( estoy desesperada grrr.

Ahora mismo voy a descargar lo que me dioces y pasarlo al paintdrive para poder pasarlo al portatil y ya te cuento :)[/color]

[Anne-Marie]

Hola, ante todo disculpadme por lo largo de este mensaje,

de nuevo a ver si me explico bien :



[color=#FF0000]Primero descargué y pasé al portatil el ELISTARTPAG que despues de pedirme si queria limpiar ficheros hosts empezó a funcionar despues dio estes errores durante el analysis :[/color]acceso denegado a a :

c\Program files\Adobe\reader 8.o\resource\CMap (16)

c\Program files\windows Live\Family Safety\History Store (18)

c\windows\registration\CRMlog(16)

c\windows\System32\com dmp (16)

c\windows\System32\LogFiles\WMI\ReBackup (16)

c\windows\System32\spool\PRINTERS (16)

c\windows\System32\spool\PRINTERS (16)

Me pone 9571 Cadenas Víricas.-.... (si son virus estoy bien :( )

despues aparecio una ventanita que ponia que la pagina de inicio ie a sido cambiada por defecto en :

pagina en blanco (abouk:blank)...... (me suena tambien a virus grrr )



encontró: ALCMTR.EXE => SpyRealtek



luego me aviso de un documento que se creo y os lo pongo aqui :







Sat Feb 14 09:18:56 2009

EliStartPage v18.01 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{EC654325-1273-C2A9-2B7C-45D29BCE68FD}"]

Por favor, envienos una muestra del fichero

C:\Muestras\DESKTOPCONTROLPANEL.DLL

a "virus@satinfo.es". Gracias.

[SharedTaskScheduler "{EC654325-1273-C2A9-2B7C-45D29BCE68FF}"]

Por favor, envienos una muestra del fichero

C:\Muestras\DREAMCONTROL.DLL

a "virus@satinfo.es". Gracias.

[SharedTaskScheduler "{EC654325-1273-C2A9-2B7C-45D29BCE68FB}"]

Por favor, envienos una muestra del fichero

C:\Muestras\DESKSCAPES.DLL

a "virus@satinfo.es". Gracias.

Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Feb 14 09:20:21 2009

EliStartPage v18.01 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\drivers\AUDIO\ENCODER\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 16763

Nº Total de Ficheros: 104511

Nº de Ficheros Analizados: 25970

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



[color=#FF0000]Luego lancé el ELITRIP [/color]



me dió mas o menos las mismas carpetas en acceso denegado y encontró 1009 cadenas viricas pero ningun virus.



añadió un informe al fichero infosat, asi que luego al pasar el ultimo volveré a poner la copia del fichero.



[color=#FF0000]Lancé el ELIBAGLE[/color]



me dió mas o menos las mismas carpetas en acceso denegado

Encontró 7 virus :

SMPSYS.EXE => Bagle.dldr

SROSA2.SYS => Bagle (roothit)

WINUPGRO.EXE => Bagle.dldr

1285900.EXE => Bagle

1343246.EXE => Bagle

584239.EXE => Bagle dldr

FLEC006.EXE => Bagle



aQUI OS PONGO EL FICHERO QUE CREÓ DE LAS TRES ACTIONES INFO :







Sat Feb 14 09:18:56 2009

EliStartPage v18.01 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[SharedTaskScheduler "{EC654325-1273-C2A9-2B7C-45D29BCE68FD}"]

Por favor, envienos una muestra del fichero

C:\Muestras\DESKTOPCONTROLPANEL.DLL

a "virus@satinfo.es". Gracias.

[SharedTaskScheduler "{EC654325-1273-C2A9-2B7C-45D29BCE68FF}"]

Por favor, envienos una muestra del fichero

C:\Muestras\DREAMCONTROL.DLL

a "virus@satinfo.es". Gracias.

[SharedTaskScheduler "{EC654325-1273-C2A9-2B7C-45D29BCE68FB}"]

Por favor, envienos una muestra del fichero

C:\Muestras\DESKSCAPES.DLL

a "virus@satinfo.es". Gracias.

Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Feb 14 09:20:21 2009

EliStartPage v18.01 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\drivers\AUDIO\ENCODER\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 16763

Nº Total de Ficheros: 104511

Nº de Ficheros Analizados: 25970

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Sat Feb 14 09:45:13 2009

EliTriIP v5.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Feb 14 09:45:16 2009

EliTriIP v5.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 16764

Nº Total de Ficheros: 104514

Nº de Ficheros Analizados: 20742

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Feb 14 09:57:32 2009

EliBagle v12.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\566704.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\793935.EXE --> Eliminado Bagle

Eliminada Carpeta "%WinSys%\Drivers\Down"



Sat Feb 14 09:57:38 2009

EliBagle v12.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Program Files\Packard Bell\SetUpMyPC\SMPSYS.EXE --> Eliminado Bagle.dldr

C:\Users\Jose Luis\AppData\Roaming\drivers\SROSA2.SYS --> Eliminado Bagle(rootkit)

C:\Users\Jose Luis\AppData\Roaming\drivers\WINUPGRO.EXE --> Eliminado Bagle.dldr

C:\Users\Jose Luis\AppData\Roaming\drivers\downld\1285900.EXE --> Eliminado Bagle

C:\Users\Jose Luis\AppData\Roaming\drivers\downld\1343246.EXE --> Eliminado Bagle

C:\Users\Jose Luis\AppData\Roaming\drivers\downld\584239.EXE --> Eliminado Bagle.dldr

C:\Users\Jose Luis\AppData\Roaming\m\FLEC006.EXE --> Eliminado Bagle.dldr



Nº Total de Directorios: 16764

Nº Total de Ficheros: 104510

Nº de Ficheros Analizados: 13603

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7



Ahora voy a reniciar y a ver que pasa :).... me parece que todo sigue igual sin connecsion a internet :( y sin antivirus (alomejor es porque hice todo lo dicho anteriormente en modo seguro)



Vuelvo a reeniciar pero me parece que no funcionó.... bueno por lo menos parece que encontró algunos virus.



No sé que mas hacer gracias por todo.



Anne-Marie Libournet

[msc hotline sat]

Pues tenias Bagle, y lo hemos detectado y eliminado con el ELIBAGLA, lo que ahora puedes tener aplicaciones que no funcionen y que haga falta reinstalarlas, por ejemplo el antivirus si no te queda residente...



y el ELISTARA detectó posibles nuevas variantes de troyanos:



Por favor, envienos una muestra del fichero

C:\Muestras\DESKTOPCONTROLPANEL.DLL



Por favor, envienos una muestra del fichero

C:\Muestras\DREAMCONTROL.DLL



Por favor, envienos una muestra del fichero

C:\Muestras\DESKSCAPES.DLL



Envianoslos para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 14-2-2009







NOTA: Ahora los hemos aparcado,fuera de circulacion, tras reiniciar mira si has mejorado en velocidad y si tras reinstalar las aplicaciones problematicas, como el antivirus, luego ya queda activo residente en memoria.



Y las 9571 cadenas del ELISTARA y las 1009 del ELITRIIP son la cantidad de cadenas base que incluyen estas utilidades para controlar las diferentes variantes de malwares (Y te has olvidado mencionar las 649 del ELIBAGLA ( No es que tengas todos estos bichos :mrgreen: !!! )

ms.

[Anne-Marie]

[color=#0000FF]Hola otra vez,

Ahora mismo voy a buscar estas muestras :( y las envió. El problema es que tampoco puedo entrar en internet aun pero el ccleaner vuelve a funcionar supongo que como dices tengo que volver a instalar el avast pero me parece que sigo con problemas porque tendria que dejarme entrar en internet y no hay manera.

Menos mal que no tengo tantos bichos que ya mne asusté cuando vi mas de 1000 mdr

Pero muchas gracias por la respuesta :)

VUelvo ahora mismo con las muestras si es que las encuentro :)[/color]

[Anne-Marie]

[color=#0000FF]Otra vez yo :(... ya me vais a aburrir :(

Resulta que no encuentro los ficheros estos de muestra :(... puede ser que los eliminé lanzando el ccleaner ?

sigo sin poder conectarme a internet y aun no reinstallé el antivirus

besoOooOoos[/color]

[Anne-Marie]

[color=#0000FF]YA esta !!! ENcontré las muestras !!!! SOy la mejor :shock: ya las envié donde corresponde

pero yo sigo con el mismo problema que no puedo conectarme pienso que no solucioné nada :(

BesooOooo y gracias[/color]

[msc hotline sat]

Si no aparfecen en la carpeta C:\muestras y ejecutaste posteriormente alguna otra utilidad, pudiera ser que te los hubieran borrado... lástima porque asi no podremos analizarlos y deshacer lo que hubieran hecho.



Pues si no puedes enviarnos los ficheros... esperemos que todo te vaya bien ya, pues quemaste los barcos ... Que te sirva de experiencia para no probar utilidades que no aconsejamos...



De todas formas eliminaste un Bagle, asi que reinstala lo que no te funcione bien, y si quieres, cuando puedas navegar, lanza este AV ONLINE para asegurarte que no tienes nada mas, y nos posteas el informe resultante:







http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





saludos



ms, 14-2-2009

[msc hotline sat]

Recibidos los ficheros pedidos, no vemos rutinas sospechosas, por lo que en la veriosn de hoy pasamos a excluirl su solicitud de muestras



Esperamos que nos postee el informe del AV ONLINE para obrar en consecuencia



saludos



ms, 16-2-2009