Ayuda hay un Virus y no puedo ejecutar Elistara

[shy2009]

Hola

aparentemente tengo un virus y tanto el Elistara como el Elitrip no se ejecutan...sale el siguiente mensaje: "archivo modificado posiblemente por un virus, contacte con Satinfo".

Adjunto envio reporte del analisis hecho a uno de esos ejecutables hechos por un programa online recomendado en este mismo foro...Espero me puedan ayudar.

De antemano Gracias

------------------------------------------------------------------------------------------------------------------------------------------------------





Motor antivirus Versión Última actualización Resultado

a-squared 4.0.0.101 2009.05.31 -

AhnLab-V3 5.0.0.2 2009.05.31 -

AntiVir 7.9.0.180 2009.05.30 -

Antiy-AVL 2.0.3.1 2009.05.31 -

Authentium 5.1.2.4 2009.05.31 -

Avast 4.8.1335.0 2009.05.30 -

AVG 8.5.0.339 2009.05.31 -

BitDefender 7.2 2009.05.31 -

CAT-QuickHeal 10.00 2009.05.29 -

ClamAV 0.94.1 2009.05.30 Trojan.Istbar-187

Comodo 1224 2009.05.31 -

DrWeb 5.0.0.12182 2009.05.29 -

eSafe 7.0.17.0 2009.05.27 Suspicious File

eTrust-Vet 31.6.6530 2009.05.30 -

F-Prot 4.4.4.56 2009.05.31 -

F-Secure 8.0.14470.0 2009.05.31 -

Fortinet 3.117.0.0 2009.05.31 -

GData 19 2009.05.31 -

Ikarus T3.1.1.57.0 2009.05.31 -

K7AntiVirus 7.10.749 2009.05.29 -

Kaspersky 7.0.0.125 2009.05.31 -

McAfee 5631 2009.05.30 -

McAfee+Artemis 5631 2009.05.30 Artemis!3D22D0AB6594

McAfee-GW-Edition 6.7.6 2009.05.29 -

Microsoft 1.4701 2009.05.31 -

NOD32 4117 2009.05.30 -

Norman 6.01.05 2009.05.29 -

nProtect 2009.1.8.0 2009.05.31 -

Panda 10.0.0.14 2009.05.31 -

PCTools 4.4.2.0 2009.05.31 -

Prevx 3.0 2009.05.31 Medium Risk Malware

Rising 21.31.64.00 2009.05.31 -

Sophos 4.42.0 2009.05.31 Mal/Behav-236

Sunbelt 3.2.1858.2 2009.05.30 Virtumonde

Symantec 1.4.4.12 2009.05.31 Trojan.Fakeavalert

TheHacker 6.3.4.3.334 2009.05.29 -

TrendMicro 8.950.0.1092 2009.05.29 -

VBA32 3.12.10.6 2009.05.31 -

ViRobot 2009.5.29.1761 2009.05.29 -

VirusBuster 4.6.5.0 2009.05.30 -

Información adicional

File size: 580010 bytes

MD5 : 3d22d0ab65940bab55660e6909902190

SHA1 : b160a48b9c468b3239dc1f0687fb99488d36b88d

SHA256: 0efeef781a04adca2a81f43c2e8c0242ef3521976823f1ac47583b79b0bc083f

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x1C75B0

timedatestamp.....: 0x4A1FD305 (Fri May 29 14:20:21 2009)

machinetype.......: 0x14C (Intel I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x13A000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x13B000 0x8D000 0x8C800 7.83 307750fdc261a0e0ca2eb0e6b5546d61

.rsrc 0x1C8000 0x1000 0xC00 3.37 0452c21377b3913486287d39d4cf9e5e



( 6 imports )



> advapi32.dll: RegEnumKeyA

> kernel32.dll: LoadLibraryA, GetProcAddress, ExitProcess

> mfc42.dll: -

> msvcrt.dll: exit

> shell32.dll: SHGetMalloc

> user32.dll: DrawIcon



( 0 exports )

TrID : File type identification

DOS Executable Generic (99.6%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.3%)

ssdeep: -

Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=EE2C152FAA650890D9FF08B858A5560061E044FC

PEiD : UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

packers (Kaspersky): UPX

packers (F-Prot): UPX

RDS : NSRL Reference Data Set

[julibaga]

Sí, es un problema que están resolviendo. Te informarán en unas horas.

Salu2

[msc hotline sat]

Al parecer pasa a unos cuantos usuarios y posiblemente sea porque alguna DLL usada por navegadores que no son el I.E., alteran las descargas.





Dinos si tienes otros navegadores instalados, aparte del I.E., y en cualquier caso, cual usas, gracias



saludos



ms, 2-6-2009

[shy2009]

no acostumbro usar I.E. mi navegador es el Mozilla Firefox version 3.0.10



espero me puedan ayudar.



Gracias

[msc hotline sat]

Ahí duele, parece que alguna actualizacion o DLL instalada por el mozilla está causando cambios en los ficheros descargados, y esto no lo notan los demas, pero si nuestras utilidades gracias al autochecksum de integridad.



Lo que no sabemos es quien cambia y lo que cambian. Esperamos hoy recibir muestras de dichos ficheros modificados, aunque ya vemos que no es por haber sido modificados por un virus, al menos no se ven mas que los falsos positivos conocidos, por lo que mas bien es algun byte añadido, eliminado o cambiado, que altere el checksum, claro.



Si tienes otro ordenador sin el mozilla, prueba de bajarlo con el I.E. que es el que usamos ADMIN y yo, y a nosotros no nos pasa. (y creo que a otros moderadores como lucl y flacorro tampoco)



saludos



ms, 2-6-2009

[shy2009]

ya lo hice...use otra laptop y usando el I.E. instalado en esa laptop logre bajar y ejectuar el Elitrip asi como el Elistara...lo curioso y eso es lo que quiero comentar ahora es que cuando intentaba ejecutar aquellas utilidades, el software ThreatFire instalado en la laptop empezo a lanzar seniales de advertencias diciendo que en ambos programas habian troyanos y virus para luego eliminarlos de la laptop automaticamente, me parecio muy extranio eso ya que se supone que ambas utilidades estan libres de virus...asi que lo que hice fue desconectar temporalmente el ThreatFire y de esa manera ejecutaron tanto el Elitrip como el Elistara...espero comentarios al respecto... y otra cosa, por favor, avisenme porque es que aparece o mas bien porque es que no se puede usar el Mozilla Firefox para descargar las utilidades antes mencionadas...

Gracias.

Saludos.

[julibaga]

No te preocupes por esas detecciones. Hiciste bien desactivando el ThreatFire. Lee esto:

https://foros.zonavirus.com/viewtopic.php?f=5&t=26228

Están inverstigando por qué no se puede bajar con Firefox. Mientras no hay más remedio que bajarlas con IE7.

[msc hotline sat]

Bueno, en privado estamos trabajando con julibaga, que es el que ha comprobado que reinstalando I.E. 7 va bien, a ver si tras ello con el mozilla tambien bajan bien, y es que creemos que puede haber una DLL comun que alguna actualizacion del mozilla, de esta semana pasada, esté alterando las descargas, ya que antes no pasaba, y tras volver a reinstalar el I.E. 7, son lo que dicha DLL queda sobreescrita, las descargas van bien... ahora está julibaga comprobando si tras ello, con el mozilla tambien, y ya nos dirá algo, espero :mrgreen:



saludos



ms, 2-6-2009

[shy2009]

alguna novedad con respecto al trabajo?. Se puede seguir usando el Mozilla Firefox para descargar y arrancar el Elistara y el Eltrip?

[julibaga]

Según mis pruebas, sí. Ya funciona.

[msc hotline sat]

Sí, se ha resulto por dos vías:



· Nuestro ADMIN ha conseguido que, a partir de ahora, las descargas desde esta web no se vean alteradas cualquiera que sea el navegador usado



· Y hemos hecho una utilidad puntual para corregir los ficheros modificados en estos últimos dias: https://foros.zonavirus.com/viewtopic.php?f=5&t=28747



saludos



ms, 3-6-2009