posible virus (SOLUCIONADO)

[Kary_E]

hola muy buenas tardes, mi problema es el siguiente realize un escano con panda scan y el resultado es el siguiente; quisiera saber de que manera puedo eliminar estos archivos, y otra duda que tengo es que ejecute el elistarA en mi computadora pero se traba en una carpeta que se encuentra en la siguiente ruta C:\WINDOWS\NLDRV\008 en un documento llamado machine.inf una vez que llega a ese documento, el elistarA al igual que el Elitrip ya no avanza y la computadora se pasma, no se si esta carpeta tenga algun virus o no deba de estar este documento, espero me puedan ayudar



de antemano muchas gracias



;***********************************************************************************************************************************************************************************

ANALYSIS: 2009-10-24 12:31:11

PROTECTIONS: 0

MALWARE: 4

SUSPECTS: 2

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\documents and settings\blackcrystal™\cookies\blackcrystal™@doubleclick[3].txt

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\documents and settings\blackcrystal™\cookies\blackcrystal™@doubleclick[2].txt

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\documents and settings\luzvel\cookies\luzvel@doubleclick[2].txt

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\documents and settings\blackcrystal™\cookies\blackcrystal™@atdmt[1].txt

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\documents and settings\blackcrystal™\cookies\blackcrystal™@ad.yieldmanager[2].txt

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\documents and settings\blackcrystal™\cookies\blackcrystal™@ad.yieldmanager[1].txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\documents and settings\blackcrystal™\cookies\blackcrystal™@smartadserver[1].txt

;===================================================================================================================================================================================

SUSPECTS

Sent Location

;===================================================================================================================================================================================

No c:\archivos de programa\ccleaner\ccleaner.exe

No c:\system volume information\_restore{61306cb1-1fc5-4293-85bc-04a65799b596}\rp13\a0045389.exe

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description

;===================================================================================================================================================================================

212494 HIGH MS09-042

212493 HIGH MS09-041

212490 HIGH MS09-038

212530 HIGH MS09-034

211784 HIGH MS09-032

211781 HIGH MS09-029

210625 HIGH MS09-026

210624 HIGH MS09-025

210621 HIGH MS09-022

210618 HIGH MS09-019

208380 HIGH MS09-015

208379 HIGH MS09-014

208378 HIGH MS09-013

208377 HIGH MS09-012

206981 HIGH MS09-007

206980 HIGH MS09-006

205735 HIGH MS09-002

204670 HIGH MS09-001

203806 HIGH MS08-078

203508 HIGH MS08-073

203505 HIGH MS08-071

202465 HIGH MS08-068

201683 HIGH MS08-067

201258 HIGH MS08-066

201256 HIGH MS08-064

201255 HIGH MS08-063

201253 HIGH MS08-061

201250 HIGH MS08-058

209275 HIGH MS08-049

209273 HIGH MS08-045

196455 MEDIUM MS08-037

194862 HIGH MS08-032

194861 HIGH MS08-031

194860 HIGH MS08-030

191617 HIGH MS08-024

;===================================================================================================================================================================================

[lucl]

Segun este informe te faltan todas las actualizaciones habidas y por haber. Ve a inicio-----todos los programas-----windows update y alli actualiza el pc. Tienes ademas muchas cookies pero con un buen antiespias lo solucionaras. Y ve a buscar este fichero machine.inf y analizalo en esta pagina que te indico. Nos pegas el log resultante saludos





www.virustotal.com

[Kary_E]

muchas gracias

ya realize lo del update, y no puedo analizar fichero de machine porque una vez que lo pongo a analizar me dice que no se puede mostrar la pag web

[msc hotline sat]

Pues pruebalo hoy, ya que pudo no funcionar por mantenimiento temporal, pero hoy lo he comprobado y funciona perfectamente:



www.virustotal.com



y nos informas del resultado, gracias



saludos



ms, 25-10-2009

[Kary_E]

Hola

Hoy lo volvi a intentar y sucede lo mismo de ayer, la pag funciona porque yo revise otro archivo antes de enviar este, solo cuando envio el machine es cuando me dice que no puede mostrar la pag web, te comento la razon por la cual realize el scan de panda, fue porque tenia problemas con un virus que se le pegaba a las usb y analice el archivo que se encontraba en la computadora el cual se llamaba kqviox.exe, quise analizarlo con el elistarA pero sucedio lo del archivo machine, ya logre eliminarlo, y pobre conectando una usb y ya no se le pega el archivo, y la computadora funciona bien, creo q este archivo no se va a poder analizar, agradezco tu tiempo y la ayuda que me brindaste



Si crees que se puede analizar de alguna otra manera yo lo volvere a intentar



De nuevo muchas gracias :D

[msc hotline sat]

Pues si te ha rondado un virus de pendrive, vacuna ordenadores y pendrives con el ELIPEN:







vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y este fichero que no puedes subir al VirusTotal, añadele .VIR a su extension, y asi estará fuera de uso a partir del siguiente reinicio.



Y luego, si puedes nos lo envas para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 26-10-1009

[Kary_E]

Hola

No pude con el machine considerare que no causa problemas, ya utilize el programa elipen y este fue el resultado



Unidad C:\ YA esta Protegida



(29-10-2009 00:24:57)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado F:\Autorun.inf

SHELLEXECUTE=KVQIOX.EXE

F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



ya habia kitado el virus de la maquina solo faltaba el de la memoria, pero si hay algo mas que hacer espero su respuesta



Muchas gracias por la ayuda que me han brindado

[msc hotline sat]

Pues aunque lo hayamos dejado desactivado, parece que no conocemos este virus de pendrive:



F:\KVQIOX.EXE



Posiblemente no lo veas porque esté oculto, prueba con el ELIMOVER si tienes problemas, indicandole ruta y nombre, y claro, poniendo dicho pendrive en el port USB...


[quote]
ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se trata de un malware
[/quote]

luego nos lo envias para analizar, junto con el AUTORUN ya renombrado:



F:\Autorun.inf.old

y el F:\KVQIOX.EXE que si has hecho lo indicado estará accesible en C:\muestras\KVQIOX.EXE







>[b]ENVIO DE MUESTRAS Y ELIMINACION DE



CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en



nuestras utilidades, de lo cual informaremos



saludos



ms, 29-10-1009

[Kary_E]

Muchisimas gracias por la ayuda, ya elimine el virus, despues de realizar eso, me mando el antivirus una alerta, tal vez no fue correcto lo que hice pero desde el winrar encontre las carpetas que eran del dichoso virus, y las elimine y con esto dejo de causarme problemas, la memoria realmente no era mia, pero de ahi se paso a la maquina, asi es que no dudo que se vuelva a infectar, si yo vuelvo a ver ese virus, yo envio lo q me pediste anteriormente para que lo puedas analizar.



Y de nuevo muchas gracias

[msc hotline sat]

Sí, conviene ir enviando las muestras para pasar a controlarlas especificamente, aunque con el ELIPEN los desactivemos genéricamente.



Pues damos ya el Tema por solucionado y procedemos a cerrarlo



saludos



ms, 30-10-2009