Descarga incompleta Elistara

[tarquinio]

Saludos.

Mi problema es el siguiente:

Hasta 5 veces he intentado descargar Elistara,tanto con IE como con Mozilla ,y no he podido.Al principio el proceso de descarga discurre normalmente, hasta que quedan las últimas 20 Kb de descarga,momento en que la descarga se corta.

Es decir , que si Elistara tiene un tamaño de 564 Kb,cuando la descarga llega a las 540 kb se interrumpe abruptamente.En el escritorio aparece el icono de Elistara pero la aplicación está incompleta con 540Kb.Cuando intento abrirla ,sale el mensaje:Elistara es una aplicación Win32 no válida.

Podrían orientarme en este problema, por favor.Gracias de antemano.

[msc hotline sat]

Este mensaje es tipico de infecciones con el BAGLE



Prueba el ELIBAGLA y si no te detectara nada, entonces arranca en modo seguro con funciones de rd y descarga el ELISTARA, que asi podrás descargarla y probarla



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp





[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp





Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 24-5-2009

[tarquinio]

Gracias por tu interes.

Siguiendo tu consejo, he bajado el EliBaglA sin ningún problema.He iniciado a prueba de errores y lo he puesto a analizar.El EliBaglA no ha detectado ninguna infección.Este es el reporter:



(24-5-2009 19:8:20)

EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(24-5-2009 19:13:11)

EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(24-5-2009 19:13:54)

EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5921

Nº Total de Ficheros: 49974

Nº de Ficheros Analizados: 12091

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(24-5-2009 19:25:21)

EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\WINDOWS"



Nº Total de Directorios: 1971

Nº Total de Ficheros: 21553

Nº de Ficheros Analizados: 8839

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(24-5-2009 20:35:15)

EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(24-5-2009 20:37:31)

EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\Administrador\Escritorio\player"



Nº Total de Directorios: 0

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(24-5-2009 20:40:45)

EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):





Posteriormente he vuelto a iniciar a prueba de errores ,pero con función de red ,para intentar descargar EliStarA en modo seguro.Pero la mala noticia es que mi sistema no me deja conectarme a internet en modo seguro.Cuando hago clic en el icono, ni siquiera sale la carátula con el botón de marcar.Me he metido en panel de control>conexiones de red, y en modo seguro no aparece mi conexión a internet.En el panel tampoco aparece opciones de teléfono y modem.He intentado crear de nuevo la conexión con el asistente,en todos los programas>comunicaciones>conexión nueva ,y no me da la opción que corresponde a mi sistema, que es con modem y banda normal.Todo esto sucede en modo seguro;es como si en este modo para el sistema no existiese ni modem ,ni posibilidad de conexión.Asi que no puedo seguir tu indicación de descargar el EliStarA en modo seguro,porque en este modo no puedo acceder a vuestra página ni a ninguna.

Quería usar EliStarA para eliminar: Email-Worm.Win32.Agent.ggd ,puesto que he leido que otro usuario de Zonavirus lo ha eliminado con EliStarA.

Envio el reporter del Kaspersky on line que lo detectó.Otro malware que aparece :RiskTool.Win32.CloseApp.e, lo he podido eliminar con a- squared.

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

martes, 19 de mayo de 2009 6:56:13

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.2

Ultima actualización: 18/05/2009

Registros en la base antivirus: 2192478

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Carpetas:

C:\WINDOWS\system32\



Estadísticas:

Número de objeros analizados: 5347

Virus encontrados: 2

Objetos infectados: 3 / 0

Objetos sospechosos: 0

Duración del análisis: 00:10:06



Bombre del objeto infectado / Nombre del virus / Última acción

C:\WINDOWS\system32\calc.exe Infectados:Email-Worm.Win32.Agent.ggd saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\vimc.exe/WISE0005.BIN Infectados: not-a-virus:RiskTool.Win32.CloseApp.e saltado

C:\WINDOWS\system32\vimc.exe WiseSFX: infectado - 1 saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



Análisis completado.

[msc hotline sat]

Efectivamente, para conectar con Internet en MODO SEGURO CON FUNCIONES DE RED hay que tener ADSL a traves de router, y nos dices [b][i]"...mi sistema, que es con modem y banda normal"[/i][/b]



Bueno, veo que el AV ONLINE ha detectado algo, vamos a ver:



C:\WINDOWS\system32\calc.exe Infectados:Email-Worm.Win32.Agent.ggd

C:\WINDOWS\system32\vimc.exe/WISE0005.BIN Infectados: not-a-virus:RiskTool.Win32.CloseApp.e

C:\WINDOWS\system32\vimc.exe WiseSFX: infectado



Pues envianos estos ficheros para analizar :



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 25-5-2009

[tarquinio]

Hola.Lo siento,soy un pozo de problemas.Creo que no puedo enviar los ficheros infectados,mediante el sistema de envio de muestras,porque no tengo instalado WinZip.Mi compresor es el WinRar,y al localizar el fichero,y hacer clic con la tecla derecha,salen una serie de opciones, pero no veo alguna en la que pueda ponerle la contraseña "virus",como explicas muy bien en tu tutorial,pero que es para WinZip.

He pensado en utilizar la segunda opción que nos explicas:Mandar el fichero empaquetado con WinRar anexado en un mail, a vuestra direccion: zonavirus@satinfo.com.Pero se me plantea una duda:¿puedo mandarlo por e-mail , sin la contraseña "virus"?.El fichero ya lo tengo comprimido en WINRAR, pero no he encontrado la posibilidad de ponerle contraseña en los menus derecho.Tambien ocurre que soy bisoño en estas lides.Espero tu consejo.Muchas gracias.Saludos.

[msc hotline sat]

Sin ponerles password es muy probable que no lleguen, al ser interceptadas por cualquier antivirus de los servidores de internet, pero pruebalo si quieres...



De todas formas, seleccionar modo avanzado en el WinRAR, esoger empaquetar con password y ponerle como tal virus, no te ha de ser ningun problema, pero en fin, si no lo logras envialos sin password, a ver si llegan :wink:





saludos



ms, 25-5-2009





NOTA: Y de momento, a los tres ficheros añadeles .VIR, para que no se ejecuten tras el proximo reinicio. ms.,

[flacoroo]

haz lo siguiente, ya que tienes winRar:

1.- dale al archivo en cuestion con boton derecho

2.- aparecera un menu

3.- escoje la opcion añadir al archivo

4.- se abrira un pequeño menu con varias pestañas

5.- entra en la que dice avanzado y en la parte derecha dice contraseña o password y escribes ahi virus

6.- despues le das aceptar y te regresas a la pestaña general y le das aceptar

y nos lo mandas y eso es todo......

[tarquinio]

Saludos.Les mando por e- mail, el archivo infectado que he encontrado en busqueda de carpetas. .En cuanto al fichero infectado,localizado en el análisis del AV online, que lleva el nombre de vimc. exe/WISE0005.BIN,la herramienta de busqueda no lo localiza en el árbol de carpetas, asi como tampoco el vimc.exe WiseSFX,aun buscando en archivos ocultos.

Gracias por sus pacientes respuestas.

[msc hotline sat]

Sí, es verdad, los que necesitamos nos envies son solo dos:



C:\WINDOWS\system32\calc.exe



C:\WINDOWS\system32\vimc.exe





si no encuentras cualquiera de los dos, mira de encontrarlo probando el ELIMOVER, que lo copiaria a c:\muestras, desde donde te sería fácil enviarnoslo



ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



Y marca de paso la casilla inferior izquierda de la ventana de dicha utilidad, para que al fichero original le sea añadida la extension .VIR y asi no pueda lanzarse a partir del siguiente reinicio.



saludos



ms, 26-5-2009







NOTA: El otro que pediamos está contenido en el vimc.exe, debe ser un empaquetado autoextraible:



C:\WINDOWS\system32\vimc.exe/WISE0005.BIN



ms.

[tarquinio]

Hola ,saludos.

He bajado sin problemas EliMover, he buscado con la ruta C:\WINDOWS\system32\calc.exe, y la aplicación lo ha encontrado;posteriormente lo he comprimido con contraseña virus,y os lo envio por e-mail a zonavirus@satinfo.es,marcado con extensión .VIR

Sin embargoen relación con el fichero de ruta C:\WINDOWS\system32\vimc.exe, la aplicación EliMover dice que el fichero no existe.Me parece a mi que es porque,antes de conocer vuestras aplicaciones,use el programa a-squared y eliminó la amenaza siguiente:C:\WINDOWS\system32\vimc.exe/WISE0005.BIN Infectados: not-a-virus:RiskTool.Win32.CloseApp.e saltado.

Esto lo he leido en los registros de las acciones que tiene el a-squared.



El fichero adjunto os lo envio por e-mail,porque está comprimido en.rar y no en .zip,por lo que parece ser no se puede enviar a través de vuestro botón:envio de muestras.



Gracias y un cordial saludo.

[msc hotline sat]

Ningun problema, da igual en ZIP o en RAR , lña cuestion es que tenga contraseña virus para que no lo intercepten y podamos desempaquetarlo y analizarlo para controlarlo.



Por cierto, este calc.exe de windows\system32\, añadele .VIR para que no se ponga en marcha tras el proximo reinicio. Si no puedes legar a él facilmente, hazlo con el LIMOVER, marcando la casilla inferior izqioerda.



Y si eliminaste el otro, logico que ya no lo envuentres.



Pues cuando volvamos al trabajo mañana en SATINFO, analizaremos la muestra enviada e informaremos.



saludos



ms, 26-5-2009

[tarquinio]

Lo siento, os pido disculpas.

Os he enviado por e-mail el fichero infectado calc.exe.Pero se me olvidó poner en asunto,mi nombre de usuario tarquinio;espero que no sea un grave problema.

En tu anterior mensaje, te refieres a que se puede mandar con vuestro botón envio muestras,un archivo comprimido en .rar,aunque no esté en .zip

Saludos

[msc hotline sat]

Eso no lo se, solo que en SATINFO, cuando se reciben empaquetados, da igual en ZIP o en RAR, lo importante es que el password sea virus, porque sino no podemos adivinarlo :wink:



Y si no se indica el nick del autor, no sabemos a que Tema corresponde, pero como excepcion, miraré de acordarme mañana y decirles que corresponde a tarquinio, gracias por avisar !



saludos



ms, 26-5-2009