ANTIVIRUS INUTILIZADOS (SOLUCIONADO)

[kabuto1000]

Hola,



Mi problema es el siguiente...Haciendo caso omiso a las más elementales leyes de internet, he ejecutado un archivo super sospechoso en mi pc...Lo sé, no hay que hacerlo pero lo hice...



A partir de ese momento, mi antivirus (panda2008) está inutilizado, no responde e incluso a veces al pinchar en el icono se me reinicia el pc...He ido a utilizar el kapersky que recomendais para enviaros un informe y cuando está ya casi completa la actualización, me da error de actualizacion, no me deja ejecutarlo online para daros el registro...



He de decir, que cuando inicio windows, me sale un mensaje de error también del windows defender, pero lo más sospechoso es que me sale también una ventanita con varias opciones a klickar (tipo guardar, cancelar, ok, etc), pero dichas opciones están en un idioma tipo chino o asi, que no se entienden...



Ah, se me olvidaba, he intentado analizar mi pc con otro antivirus online y se ha colgado también, y lo más curioso, he intentado desisntalar lo que te instala el av online en el ordenador, desde panel de control y directamente se cierra y me lleva al escritorio...Sin desintalarse claro...También me pasa con el Panda, intenté desinstalarlo y me sale un mensaje de error, y no me deja...



A ver si me podeis ayudar...

Gracias de antemano y un saludo.

[lucl]

Pues descargate estos programas que te indico, ejecuta primero elistara en tu pc y luego sprocess. Una vez [b][i]h[/i][/b]echo nos pegas los logs que te dejaran en C infosat.txt y sproclog.txt . Este ultimo te mostrara una serie de procesos en una ventanita cuando termine le das a salir y nos pegas el log con el resultado. Y dinos si el elistara consigue analizar tu pc o no, saludos





http://www.zonavirus.com/descargas/sproces.asp







http://www.zonavirus.com/descargas/elistara.asp

[msc hotline sat]

Y podrías decirnos de qué ficher nos hablas cuando dices: [b][i]"he ejecutado un archivo super sospechoso en mi pc"[/i][/b]



En fin, con el informe solicitado por lucl esperamos ver de qué se trata, pero si puede ayudarnos indicando el nombre del fichero que ejecutaste, mucho mejor, y si nos lo envias para analizar... ya sería el summum



Podría tratarse de un Bagle, que tiene rootkit y se esconde una vez instalado, pero que ademas corrompe el antivirus dejandolo inutilizado e inoperativo.



Y tambien algun que otro troyano que puede hacer lo propio...



Por ello, aparte de lo correctamente indicado por lucl, lanza estas utilidades, asi ganaremos tiempo:



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp





[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp





Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 25-7-2009

[kabuto1000]

Hola,



El Elistara se me ha quedado colgado (no responde)



Os adjunto reportes de los escaneos de los otros 2...



Gracias y saludos...



(26-7-2009 19:00:44 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Users\Administrador\Favorites\Ebay.url --> Eliminado (Fichero Complementario).

Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"



(26-7-2009 19:03:37 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(26-7-2009 19:6:54)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.79

a "virus@satinfo.es". Gracias.

C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\111WFS1INTWQ.SYS.Muestra EliBagle v12.79

a "virus@satinfo.es". Gracias.

C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\DRIVERS\111WFS1INTWQ.SYS --> Eliminado Bagle

C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\DRIVERS\11S11RO1S1A2.SYS --> Eliminado Bagle(rootkit)

C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle

C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\DRIVERS\DOWNLD\136547.EXE --> Eliminado Bagle.dldr

C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\DRIVERS\DOWNLD\156375.EXE --> Eliminado Bagle

C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\DRIVERS\DOWNLD\231193.EXE --> Eliminado Bagle.dldr

C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\DRIVERS\DOWNLD\234079.EXE --> Eliminado Bagle

C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\DRIVERS\DOWNLD\345916.EXE --> Eliminado Bagle

C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\DRIVERS\DOWNLD\365073.EXE --> Eliminado Bagle

Reinicie para Completar la Limpieza.



(26-7-2009 19:7:26)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Windows\System32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 1886759212

Nº Total de Ficheros: 1565878443

Nº de Ficheros Analizados: 1869188888

Nº de Ficheros Infectados: 1868849517

Nº de Ficheros Limpiados: 544433523

[lucl]

GUAU!! Pues si que tenias el bagle si







Nº de Ficheros Infectados: 1868849517

Nº de Ficheros Limpiados: 544433523



en cualquier caso envianos estas muestras







Por favor, envienos una muestra del fichero

C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.79



Por favor, envienos una muestra del fichero

C:\Muestras\111WFS1INTWQ.SYS.Muestra EliBagle v12.79



arriba a la derecha tienes el boton de envio muestras empaquetalas con winrar o winzip y ponles la contraseña VIRUS. Ademas que debes reinicar para completar limpieza y por si acaso antes de nada echale un vistazo a este link que te indico





https://foros.zonavirus.com/viewtopic.php?f=5&t=23824



y nos comentas resultados. No te olvides de las muestras solicitadas para analizartelas cuanto antes y darte la herramienta actualizada saludos

[msc hotline sat]

Y aparte de lo indicado por lucl, vamos a ver si probando otra vez el ELIBAGLA, podemos eliminar estos dos ficheros:



C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.

C:\Windows\System32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)



Sino, acto seguido de aparecer el mensaje, reinicia pulsando repetidamente F8 y arranca en modo seguro, y en dicho modo prueba de nuevo el ELIBAGLA, que en dicho modo podrá acceder a dichos ficheros, pruebalo y nos informas del resultado.



saludos



ms, 27-7-2009

[kabuto1000]

Hola de nuevo,



Después de reiniciar me dio el mensaje de gusano bagle eliminado o algo así...



He arrancado en modo a prueba de errores con acceso de red, he ejecutado el elibagle y casi al finalizar me dio mensaje de error, la segunda vez si se ha ejecutado bien...Después he ejecutado el elistara, no recordaba si lo tenía que hacer o no, y lo he hecho...Adjunto informes...

A ver si hay buenas noticias...



Gracias y un saludo.





(27-7-2009 18:21:4)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%AppData%\Drivers"



(27-7-2009 18:21:26)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1886759261

Nº Total de Ficheros: 1565880776

Nº de Ficheros Analizados: 1869188960

Nº de Ficheros Infectados: 1868849516

Nº de Ficheros Limpiados: 544433522



(27-7-2009 20:9:49)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(27-7-2009 20:10:15)

EliBagle v12.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1886759251

Nº Total de Ficheros: 1565879219

Nº de Ficheros Analizados: 1869188946

Nº de Ficheros Infectados: 1868849516

Nº de Ficheros Limpiados: 544433522



(27-7-2009 20:48:05 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINLOGON.EXE.Muestra EliStartPage v19.10

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WINLOGON.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "winlogon"="C:\Windows\winlogon.exe"

Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(27-7-2009 20:48:19 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1886759252

Nº Total de Ficheros: 1565879233

Nº de Ficheros Analizados: 1869193179

Nº de Ficheros Infectados: 1868849516

Nº de Ficheros Limpiados: 544433522

[msc hotline sat]

Pues solo te qued enviarnos este fichero que te pide el ELISTARA:



Por favor, envienos una muestra del fichero

C:\Muestras\WINLOGON.EXE.Muestra EliStartPage v19.10





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-7-2009

[msc hotline sat]

Recibidas las muestras de los ficheros enviados, se pasaran a controlar en la proxima version del ELIBAGLA, si bien ya ha sido eliminado dicho virus de su ordenador, restauradas las claves de registro modificadas y aparcadas dichas muestras en la carpeta de cuarentena, inoperativas ademas gracias al cambio de extension.



El antivirus, igual que otras aplicaciones afectadas, deberá desinstalarse e reinstalar de nuevo, pues lo deja corrupto dicho virus.



Cuando recibamos el C:\Muestras\WINLOGON.EXE.Muestra EliStartPage v19.10 , lo analizaremos e informaremos



saludos



ms, 28-7-2009

[msc hotline sat]

Efectivamente, en el fichero recibido detectan virus casi todos los antivirus:



File WINLOGON.EXE.Muestra_EliStartPage received on 2009.07.29 08:52:36 (UTC)



Result: 40/41 (97.57%)



Antivirus Version Last Update Result

a-squared 4.5.0.24 2009.07.29 Trojan-Proxy.Win32.Agent.kj!IK

AhnLab-V3 5.0.0.2 2009.07.28 Win-Trojan/Xema.variant

AntiVir 7.9.0.234 2009.07.29 TR/Proxy.Agent.KJ.33

Antiy-AVL 2.0.3.7 2009.07.29 -

Authentium 5.1.2.4 2009.07.28 W32/Agent.CLQ

Avast 4.8.1335.0 2009.07.28 Win32:Agent-EYV

AVG 8.5.0.387 2009.07.28 Proxy.LQP

BitDefender 7.2 2009.07.29 Trojan.PWS.Bank.A

CAT-QuickHeal 10.00 2009.07.28 TrojanProxy.Agent.kj

ClamAV 0.94.1 2009.07.29 Trojan.Proxy-306

Comodo 1801 2009.07.29 TrojWare.Win32.TrojanProxy.Agent.kj

DrWeb 5.0.0.12182 2009.07.29 Trojan.Spambot

eSafe 7.0.17.0 2009.07.28 Win32.Agent.kj

eTrust-Vet 31.6.6643 2009.07.28 Win32/Iflar

F-Prot 4.4.4.56 2009.07.28 W32/Agent.CLQ

F-Secure 8.0.14470.0 2009.07.29 Trojan-Proxy.Win32.Agent.kj

Fortinet 3.120.0.0 2009.07.29 W32/Agent.KJ!tr

GData 19 2009.07.29 Trojan.PWS.Bank.A

Ikarus T3.1.1.64.0 2009.07.29 Trojan-Proxy.Win32.Agent.kj

Jiangmin 11.0.800 2009.07.29 TrojanProxy.Agent.brm

K7AntiVirus 7.10.804 2009.07.28 Trojan-Proxy.Win32.Agent

Kaspersky 7.0.0.125 2009.07.29 Trojan-Proxy.Win32.Agent.kj

McAfee 5691 2009.07.28 FDoS-Spabot

McAfee+Artemis 5691 2009.07.28 Artemis!066467F6506C

McAfee-GW-Edition 6.8.5 2009.07.29 Trojan.Proxy.Agent.KJ.33

Microsoft 1.4903 2009.07.29 Trojan:Win32/Iflar.gen!B

NOD32 4286 2009.07.28 probably unknown NewHeur_PE

Norman 6.01.09 2009.07.28 W32/Agent.BGDK

nProtect 2009.1.8.0 2009.07.29 Trojan-Proxy/W32.Agent.159744.B

Panda 10.0.0.14 2009.07.28 Trj/Spammer.AAT

PCTools 4.4.2.0 2009.07.28 Trojan.Agent.ABAR

Prevx 3.0 2009.07.29 Medium Risk Malware

Rising 21.40.21.00 2009.07.29 Trojan.Proxy.Agent.sww

Sophos 4.44.0 2009.07.29 Troj/Agent-EPO

Sunbelt 3.2.1858.2 2009.07.29 Bulk Trojan

Symantec 1.4.4.12 2009.07.29 Trojan.Goldun

TheHacker 6.3.4.3.377 2009.07.29 Trojan/Proxy.Agent.kj

TrendMicro 8.950.0.1094 2009.07.29 TROJ_AGENT.RLL

VBA32 3.12.10.9 2009.07.29 Trojan.Spambot

ViRobot 2009.7.29.1858 2009.07.29 Trojan.Win32.Proxy.159744.D

VirusBuster 4.6.5.0 2009.07.28 Trojan.Agent.ABAR

Additional information

File size: 159744 bytes

MD5...: 066467f6506c02789d3b6ff7dd51e66f

SHA1..: 7316d4df28d967f482c3c16ef85af00f8fca9383



y como que el ELISTARA ya eliminó el fichero en cuestión de C:\windows y la clave de lanzamiento desde el registro:



[b][i]C:\WINDOWS\WINLOGON.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "winlogon"="C:\Windows\winlogon.exe"[/i][/b]



Ya queda solucionado el problema de este último.



Ahora, tras reiniciar, vea si persiste alguna anomalía o podemos dar por solucionado el Tema



saludos



ms, 29-7-2009











NOTA:

Y NO SE OLVIDE DE INSTALAR UN ANTIVIRUS QUE SE VAYA ACTUALIZANDO, PUES YA VE QUE SINO ENTRAN VISITAS INDESEABLES. ms.

[kabuto1000]

Hola,



Pues parece que ya no se me queja el pc...He desinstalado el antivirus y le he vuelto a instalar y todo perfecto...Sólo una cosilla, cada vez que inciaba windows, el defender me daba un error...Lo he quitado del menú inicio y tan contentos...



Gracias mil por la ayuda...

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 30-7-2009

[msc hotline sat]

Recibidas muestras con su nick, han resultado ser de bagle que pasamos a controlar con la version 12.80 del ELIBAGLA :




[quote="msc"]
[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



y recordar :



https://foros.zonavirus.com/viewtopic.php?f=5&t=27602



saludos



ms, 25-8-2009

[msc hotline sat]

Y otra muestra recibida pasamos a controlarla con el ELISTARA de hoy, 19.12



pero recuerde una vez mas, no enviar muestras sin documentar su envio en el foro:



https://foros.zonavirus.com/viewtopic.php?f=5&t=27602



saludos



ms, 25-8-2009