Un virus fuertecito (TERMINADO)

[Aloja]

Buenas a todos, no se cuantos habra dispuestos a leer todo lo que pienso escribir desde el principio hasta el final, pero creo que sera necesario ,para que comprendan todo lo que he hecho y en que paso estoy ahora mismo.

1º La maquina ,se trata de un PIV , con 2 discos duros de 250gb cada uno.

2º El problema, Virus/troyano/backorifice/cabronada .

3º Informacion sobre el virus

Alias:

• Symantec: W32.Licum

• Mcafee: W32/Gael.worm.a

• Kaspersky: Virus.Win32.Tenga.a

• TrendMicro: PE_TENGA.A-O

• Sophos: W32/Tenga-A

• VirusBuster: virus Win32.Tenga.A

• Bitdefender: Win32.Gael.3666



Esta informacion es aportada por el antivirus avira , despues de detectar 196 archivos infectados.

Problemas causados por dicho virus:

Aunque en todas las paginas de informacion que resultan de buscar y googlear con todos esos nombres dicen, que es una infeccion baja y de poca peligrosidad. Tiene gran capacidad de propagacion, y es bastante peligroso de cara a los archivos con extension.exe



4º Intentos de resolucion llevados a cabo por mi:

Para que os termineis de poner en situacion recuerdo que son 2 discos duros, unidad

C: 250gb Windows XP

D: 250gb Datos , instalables, fotos, videos, exes...



4.2 Formateo unidad C

4.3 Formateo unidad C x2

4.4 Veo que el virus sigue, y que infecto toda la unidad D, instalables ,exes.etc

4.5 AVira antivirus troyan tool (ponia entre los que se cargaba al Stanit, como el avira lo denomina)

Detecta muchos archivos de nuevo, pero el virus sigue dando la bara.

4.6 SuperAntyspyware, MalwareBytes, Ewido antymalware, drwebcure it.

Escaner de todos los programas anteriores, pasados con pocas detecciones, los archivos detectados borrados. Y el virus sigue dando guerra.

4.7. Avast antivirus ejecutado al inicio, solo me da la posibildad de borrar los archivos infectados y no repararlos , por lo que elimino todos los de la unidad c contaminados.

4.8 Aqui estoy, el virus sigue ahi, el 100% de los .exe e instalables y .rar que tengo en la unidad d, siguen inaccesibles, y no se que hacer en pro de repararlos.



Alguna ayuda? Espero vuestras respuestas, gracias de antemano .

[julibaga]

Pues a ver si podemos ayudarte.

Deshabilita Restaurar Sistema

Inicia en Modo seguro con funciones de red.



Bájate las siguientes utilidades:

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]

Las ejecutas de una en una y cuando terminen abres el archivo [b]c:\infosat.txt[/b],

copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas se quedaron solucionados los problemas.

Si se pide el [url=http://www.zonavirus.com/descargas/elinotif.asp]Elinotif.dll[/url], copiar dicho fichero en la misma carpeta que el Elistara.exe, el cual utilizará si lo necesita, al reiniciar la máquina.

Y para ver los procesos bájate el [url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url] (herramienta de investigación)

y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.



Nota:

FALSOS POSITIVOS:

Las detecciones de troyanos en las utilidades Eli* son falsos positivos debido a las cadenas viricas de detección que contienen, como se indica en:

https://foros.zonavirus.com/viewtopic.php?f=5&t=26228

[Aloja]

Añado , que creo que el virus cada vez esta mas muertecito, he pasado algunos de los antivirus online ahora y bueno nose.

Ahora estoy en la tesitura de , existe la posibilidad de reparar los .exes corrompidos por este virus "cabron"?

Edit < el error que me da al intentar abrir un ejecutable de mi unidad D: es error NSIS.

Luego hago las pruebas con los dos programas sugeridos .

[msc hotline sat]

virus infector que llega a traves de la vulnerabilidad DCOM RPC Interface Buffer Overrun en direcciones IP al azar descarga “CBACK.EXE” y “GAELICUM.EXE”



Luego infecta todos los .EXE segun se explica en: http://www.911antivirus.com/msgs/tengaa.htm



Desactivar el antivirus (o arrancar en modo seguro con funciones de red) y enviarnos estos dos ficheros para analizar:



“CBACK.EXE” y “GAELICUM.EXE”



Aparte enviarnos cualquier .EXE infectado con dicho virus Gael, para saber la variante del mismo y obrar en consecuencia, aunque los infectados debería poder limpiarlos con su antivirus, arrancando en modo seguro, claro, y si nos envia los dos ficheros antes indicados, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 5-3-2009









NOTA: Como que este bicho entra por DCOM RPC, asegurarse que se tengan instalados todos los parches, incluido el MS08-067 ... en caso de duda, lanzar un windowsupdate e instalar los pendientes.

[Aloja]

y aqui va el informe del sProc

Thu Mar 05 06:31:43 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Nombre Equipo: Dream

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\CREATIVE\SBAUDIGY LS\SURROUND MIXER\CTSYSVOL.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE

C:\ARCHIVOS DE PROGRAMA\EWIDO ANTI-MALWARE\EWIDOCTRL.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.es/scan_es/scan8/oscan8.cab

O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6DC550C4-3D7C-4AA0-9002-9EBA1EC29222}: NameServer = 80.58.61.250 80.58.61.254

O20 - Winlogon Notify: !SASWINLOGON - C:\ARCHIVOS DE PROGRAMA\SUPERANTISPYWARE\SASWINLO.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - - C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL

ShellExecuteHooks: {54D9498B-CF93-414F-8984-8CE7FDE0D391} - ewido shell guard - C:\Archivos de programa\ewido anti-malware\shellhook.dll



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: aswFsBlk - ALWIL Software - C:\WINDOWS\SYSTEM32\DRIVERS\aswFsBlk.sys

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Servicio de instalación del controlador de audio (WDM) de Intel(r) 82801 (ac97intc) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ac97intc.sys

O23 - Service: SpeedTouch USB ADSL PPP Networking Driver (NDISWAN) (alcan5wn) - THOMSON - C:\WINDOWS\SYSTEM32\DRIVERS\alcan5wn.sys

O23 - Service: SpeedTouch ADSL Modem ATM Transport (alcaudsl) - THOMSON - C:\WINDOWS\SYSTEM32\DRIVERS\alcaudsl.sys

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Creative SB Audigy LS (P17) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\P17.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: SASENUM - SUPERAdBlocker.com and SUPERAntiSpyware.com - C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



22 Servicios.

9 de Carga Automatica.

12 de Carga Manual.

1 Deshabilitados.





Añado tambien que con el elistara, borre un archivo infectado , y el elistrip no me deja iniciarlo alegando que necesita actualizacion.



Aqui uno de los .exe infectados por el susodicho virus como pides. <interceptado por zonavirus : no se deben nunca usar este metodo para los ficheros infectados, los podría descargar cualquiera !!! >

[msc hotline sat]

Solo he empezado y he visto:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



evidentemente faltan parches !!! no solo el SP3 sino los posteriores como el indicado.



Lanza un windowsupdate ante todo.



Ahora seguiré con el log y ya comentaré lo demas



saludos



ms, 5-3-2009

[Aloja]

vaya dos vampiros , o si no buenos dias para ti xd.

Por otra parte muchas gracias por la velocidad d las respuestas.

Y por otro lado siendo sincero, segun esto ya habia descargado el service pack 3, y muchisimas revisiones de seguridad despues de formatear. A traves de las actualizaciones automaticas.

Eso si , al lanzar windows updates desde la barra de inicio me pide instalar el windows update etc etc. Y no quiero instalar eso , porque segun tengo entendido me saldra la estella esa de puede que este sofware no sea original, y soy usuario de un windows ue v7 con SP2 integrado y preparado para las actualizaciones automaticas , pero no creo que de el pego con eso.



A esto añado que busque los archivos “CBACK.EXE” y “GAELICUM.EXE”, y dl.exe y no hay presencia de ellos en mi pc. Tambien que segun la pagina a la que hiciste referencia creo que lo que necesitaria yo , es un programa que haga el proceso inverso de poner una V en la linea 32, y desinfecte bien los exes aniquilados por este virus.

[msc hotline sat]

Vay, pues con la "Iglesia" hemos topado :



dices : [b][i] "soy usuario de un windows ue v7"[/i][/b]



y en este foro no damos soporte a sistemas piratas o paralelos.



Cuando hayas instalado windows XP de Microsoft, SP3 y demas parches, vuelve por aqui, y ten presente que las muestras viricas deben enviarse segun se indica:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 5-3-2009



Y dando por terminado el Tema, procedemos a cerrarlo.

[Aloja]

vale pero antes de que lo chapes...aunque instalara ahora el windows home que tengo por ahi perdido que me vino con el pc , y actualizara . Los archivos que se quedaron "inservibles" dada la manipulacion del virus, no se arreglan solos por parchear windows . Con eso aun asi , no me puedes ayudar?

Edit , el virus tambien corrompio el ejecutable del winrar.exe , y desinstale el compresor de windows. Eso viene a lo de el sistema de envio de muestras.

[msc hotline sat]

No sé lo que hizo tu antivirus con estos ficheros infectados... debería haberlos desinfectado dejandolos operativos, pero con el AVAST ... ???



Si aun hubieras usado un sistema convencional, podriamos comparar algunos ficheros corruptos con originales y ver si las diferencias son constantes y pensar lo que ha hecho mal el antivirus e intentar corregirlo, pero no siendo asi... Si tienes de algunas aplicaciones ficheros originales y los de ahora que no funcionen, envianos 4 coruuptos y los originales correspondientes y trataremos de estudiarlo.



Pero lo mas aconsejable es instalar de nuevo tanto el sistema operativo como las aplicaciones, y eso sí, conservar los datos, que no se habrán visto afectados, Y SOBRE TODO ENSEGUIDA INSTALA TODOS LOS PARCHES, que ya has visto que este entra por RPC DCOM, como el Conficker...



Mantenemos el Tema abierto para que nos digas si has podido enviarnos los 8 ficheros u optas por la solucion definitiva, y asi obrar en consecuencia. Si los envias, hazlo enviando el .RAR con dichos ficheros siguiendo las indicaciones:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 5-3-2008

[Aloja]

Bueno, el primer antivirus que pase fue el avira, y este no reparo nada de nada. Y detectaba el virus por todas partes, y luego descargue una aplicacion de avira que , entre los troyanos que cazaba especificaba concretamente el W32.Stanit , que el nombre de avira para el tanga,gael,o licum. Tras pasar ese escaner detecto 192 archivos infectados y se supone que los habia reparado , porque en el informe de avira ponia Desinfected &repaired done. Pero no era asi, y seguian sin funcionar.

Recuerdo la situacion del pc

Unidad C: Windows <-

Unidad D: datos

Unidad C, formateable etc.

La unidad d, tengo mil cosas y esa no se puede formatear, y es de donde quiero arreglar los .exe, no de la unidad de windows .

Y bueno me voy a dormir jeje, cuando despierte reinstalare winrar y buscare 4 corruptos y buscare sus 4 originales .

[msc hotline sat]

Malo si el AVIRA normal no lo desinfectaba..., da que pensar que el virus no habia guardado copia de la cabecera original... y la utilidad que luego utilizó, igual no era para la variante especifica que le habia afectado , o en cualquier caso era un intento de "apañar" el fichero...



Si nos envia los ficheros indicados lo miraremos, pero ya no hay copia de la cabecera, bien por el virus o por la utilidad empleada para desimfectarlo... mal lo tiene. Vaya pensando en reinstalar las aplicaciones salvando los datos.



saludos



ms, 5-3-2009

[Aloja]

Me acabo de despertar , y archivos originales, entre casi 200 instalables, puedo encontrar por internet de nuevo . Por cierto , puedo estar seguro de que el virus no se pasa de un .exe a otro o algo asi?

Comienzo a instalar winrar, y procedo a buscar los archivos (mas noticias pronto)

[msc hotline sat]

Si el AVIRA le ha dejado tontos los ficheros infectados...ya no pueden propagar virus.



Pero visto lo que hacían otras variantes de este malware, no creo que pueda recuperarse la normalidad en algunos ficheros que el virus procesaba erroneamente sobreescribiendo partes críticas del mismo, que pueden ser los que el antivirus no ha podido con ellos. Sería procedente sustituirlos por originales o copia de seguridad, pues los 4096 bytes que en teoria añade al final del fichero, en algunos casos lo hace sobreescribiendo el propio fichero en lugar de añadirlo, con lo cual queda inoperativo, pues al eliminar la infeccion acortando dichos 4096 bytes, lo que se corta en estos ficheros es parte del codigo del mismo, que el virus ha sobreescrito.



Por ello creo que va a ser perder el tiempo intentar recuperarlos, pero si nos los envía, confirmaremos dicha hipótesis.



saludos



ms, 5-3-2009

[Aloja]

Bueno , ya subi 2 archivos , el primero del instalador del regcleaner y el segundo del celestia. Creo que no hara falta subir mas, dado que el celestia original ocupa 12mb, y el modificado no mas de 1mb. Lo cual significa que ningun programa reparador se sacara 10 mb de la manga. Los originales dentro de los rar estan nombrados precedidos de la letra O , de original.

Tambien me queda añadir que busque en mi unidad de datos , es decir la que no puede ser formateada, con la clave .exe , y todos los .exe de la unidad aparecen como ultima modificiacion el dia 4de marzo de 2009 , que da la casualidad que es cuando me infecto el virus. Algunos de ellos funcionan , al ser ejecutados aun habiendo sido modificados, y muchos , muchisimos dan error NSIS, u otro tipo de errores de ejecucion.



La pregunta importante es, estoy limpio ya? Puedo estar seguro de que no puede volverse a propagar a partir de otro .exe de los que estan infectados o algo parecido?

[msc hotline sat]

Todo aclarado, pero lamentable ...



Vistos los 4 ficheros enviados, dos originales y dos "limpiados" vemos que los originales son de



regcleaner 549 KB

celestia 12,3 MB



mientras que los "reparados" tienen :





regcleaner 52 KB

celestia 55 KB





Luego está claro que el virus cambia, el dato del tamaño real del fichero original, y lo deja en la copia virica a unos 50-55 KB, con lo que ficheros de mayor tamaño, al ser desinfectados, se cortará el supuesto añadido de dicho tamaño, dejandolos a los 52 y 55 KB como ha sido el caso, olvidandose de mas de 12 MB extras del uno y de los 500 KB de mas del otro



Nada que hacer con estos que ha dejado mal, segun datos de los ficheros nodificados por el virus, procede sobreescribirlos por original o copia de seguridad.



Y ya dando por finalizado el Tema, procedemos a cerrarlo



saludos



ms, 5-3-2009



NOTA: y creo que si ya el antivirus no le detecta nada al respecto, sí está limpio de este, aunque bastante maltrecho ! :? ms.