Posible virus doble acento. Pido paciencia en la ayuda. (SOLUCIONADO)

[Badan]

Buenas tardes.

Soy nuevo en el foro, me he registrado por varios motivos.

El primero, por el asunto de doble acento ´´. Me repatea no poder escribir con acentos debidamente. Ademas de saber, que posiblemente mis datos se esten transfiriendo a terceras personas.

El segundo motivo, es debido, a mi ignornacia en los asuntos informaticos, asi pues, he decidido darme de alta con la intencion de ser permanente en este foro, e ira aprendiendo los asuntos informaticos y virus, que es algo que nos acompañara el resto de nuetros dias, y debo estar actualizado. Soy gran aficionado a los peces, en concreto a ciclidos africanos, lo comento, con la idea, de sacar y compartir posiblemente la aficion de algun forero de aqui.

A todo esto, vamos al tema. Pido paciencia, pues soy usuario "pez" en el asunto. He estado mirando bastantes posteadas, y he visto, que el problema del doble acento, suele ser generalizado y personalizado al mismo tiempo.

Quedo a vuestra entera disposicion para ir averiguando cosas y descaratando/solucionando el problema.

Grancias.

Dani.

[Badan]

Añadir que por ahora no he detectado anomalias de configuracion en otras acciones.

[msc hotline sat]

Sin ser un payload vírico, sino un bug del coder, al no usar una tabla de caracteres con idioma castellano (el ingés no tiene acentos) en su proceso de desarrollo, es una característica que delata anormalidad de la aplicación, no hecha profesionalmente o al menos para uso universal. Algunos troyanos, como otras aplicaciones compiladas en dicho modo, tienen la deficiencia indicada, apareciendo doble apostrofe cuando se escribe una letra acentuada.



Por si se tratara de un malware, lo cual es probable, pruebe el ELISTARA y posteenos el informe resultante:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 14-1-2010

[Badan]

Gracias por responder.

Nuevamente comentar, que desconozco bien algunos terminos, y me llevara tiempo aplicarlos.

Que opciones tenemos, sin tener que pasar por un programa de pronto pago, que no me garantiza la solucion al problema?

He estado mirando las configuraciones del teclado, y parecen estar bien. Solo hay irregularidades con las 2 teclas de apostrofe. Por logica, descarto un bug del coder al haber solo estas 2 incidencias.

Gracias.

[msc hotline sat]

El programa se le deja probar en concepto de evaluacion. Si tuviera que pagarlo, lo minimo serían 60 €, y el SMS que se pide es solo por la descarga, y mantenimiento de esta web.



Y hemos tenido cientos de incidencias similares, asi que ya sabemos lo que decimos sobre el "doble acento" :wink:



saludos



ms, 14-1-2010

[Badan]

Me parece correcto en especial para el mantenimiento de la web.

Ya he efectuado la descarga, introduje su codigo de confirmacion y he ejecutado el archivo, he borrado direcciones temporales de Internet y otra cosa, que no recuerdo (Archivos de HOST, o lago parecido) Tengo un acceso directo POID FINDER en el escritorio, que al pincharlo dice lo siguiente:

"La unidad o conexion de red a la que se refiere el acceso directo POI FINDER.ink" no esta disponible. Asegurese de haber insertado correctamente o de la disponibilidad del recurso de red y vuelva a intertarlo".

Y hast aqui hemos llegado.

Que mas?

Gracias.

[msc hotline sat]

Lo que pedimos es que nos postees con un copiar y pegar, el contenido de C:\infosat.txt



Tras ello sabremos a qué atenernos, gracias



saludos



ms, 14-1-2010

[Badan]

Bien.





(14-1-2010 18:07:00 (GMT))

EliStartPage v20.11 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\TSFGLJIV.EXE.Muestra EliStartPage v20.11

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\SENY\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\TSFGLJIV.EXE --> Eliminado

C:\DOCUMENTS AND SETTINGS\SENY\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\TSFGLJIV_NAVPS.DAT --> Eliminado

C:\DOCUMENTS AND SETTINGS\SENY\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\TSFGLJIV.DAT --> Eliminado

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKCU\...\Run] "TSFGLJIV"=""c:\documents and settings\seny\configuración local\datos de programa\tsfgljiv.exe" tsfgljiv"

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-1-2010 18:10:32 (GMT))

EliStartPage v20.11 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-1-2010 18:15:16 (GMT))

EliStartPage v20.11 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-1-2010 18:26:59 (GMT))

EliStartPage v20.11 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-1-2010 19:35:22 (GMT))

EliStartPage v20.11 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Saludos!

[msc hotline sat]

Pues empieza por enviarnos el fichero que decimos:



[b][i]Por favor, envienos una muestra del fichero

C:\Muestras\TSFGLJIV.EXE.Muestra EliStartPage v20.11

a "virus@satinfo.es". Gracias.[/i][/b]





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 14-1-2010







Aparte, Tienes un ZBOT:



C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.



Es un RootKit para el que necesitarás el ELINOTIF.DLL , lo cual debería decirtelo al final del informe, pero igual no lo has posteado completo ...???



Por ahora envianos el fichero pedido y, tras analizarlo, informaremos. ms.

[Badan]

Hola.

El archivo "muestra" ya ha sido enviado de 2 modos.

1º Por correo.(Ignoraba el modo correcto de envio)

2º En "zip", atraves de la pestaña "envio muestras".



El anterior archivo posteado "infosat.txt" ha sido completo. Si falta algo, ignoro que es y donde esta.

Saludos y gracias.

[msc hotline sat]

Pues en cuanto entremos a trabajar en SATINFO espero que encontraremos la muestra y la analizaremos, tras lo cual informaremos.



Sobre lo que te decía de que parecía no estar completo, es porque al terminar la exploracion, si existe alguna variante SDRA64.EXE y no encuentra el ELINOTIF.DLL , lo indica, y cuando ya está en la misma carpeta que el ELISTARA, lo instala en el registro y lo prepara para ser lanzado automaticamente en el proximo reinicio, y asi terminar la eliminacion.



Ello lo puedes ver en un Tema antiguo, del que extraigo el infosat al respecto:


[quote]EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



...



Nº Total de Directorios: 6108

Nº Total de Ficheros: 57777

Nº de Ficheros Analizados: 16713

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

[b]No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)[/b]



(2-12-2005 0:18:44 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[b]C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.[/b]

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(2-12-2005 0:20:57 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6149

Nº Total de Ficheros: 57749

Nº de Ficheros Analizados: 16709

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Spy.ZBot.GWQ

[b]Sistema Infectado por el Spy.ZBot.MSxx32

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)[/b]



EliNotify v1.9.11.12 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Detectado Spy.ZBot.MSxx32

Restaurado Valor "UserInit"

[b]Desinstalado EliNotif.dll[/b]



(1-12-2005 23:07:04 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[b]Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v19.78

a "virus@satinfo.es". Gracias.[/b]

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\Lowsec"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(1-12-2005 23:07:28 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6150

Nº Total de Ficheros: 57763

Nº de Ficheros Analizados: 16710

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(28-11-2009 17:38:46 (GMT))

EliStartPage v19.79 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(28-11-2009 17:39:07 (GMT))

EliStartPage v19.79 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

[b]C:\Muestras\SDRA64.EXE.MUESTRA ELISTARTPAGE V19.78 --> Eliminado, Spy.ZBot.GWQ[/b]



Nº Total de Directorios: 6194

Nº Total de Ficheros: 58082

Nº de Ficheros Analizados: 16826

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1[/quote]

Este SDRA64.EXE es una variante de ZBOT, conocido RootKit que dificulta su deteccion y eliminacion..., pero los vamos controlando, a pesar de aparecer nuevas variantes del mismo a diario ! ms.



Esperamos que la muestra que nos has enviado nos ayude en tu caso.



saludos



ms, 15-1-2010

[Badan]

Gracias por la informacion.

Un suceso de ayer, que considero a tener en cuenta.

Estuve trasteando en: INICIO- PANEL DE CONTROL-OPCIONES REGIONALES DE IDIOMA, FECHA Y HORA-Y ahi dentro, en los 4 submenus correspondientes.

La cuestion, no se como, cuando fui a apagar el pc, me salto "como a otro usuario", y ahi, (siendo siempre el mismo usuario) los acentos dobles no existian, dicho de otro modo, todo era normal. Cosa que hoy por la mañana, volvian los "dobles acentos".

Pregunto: Puede ser el virus, que dejase de funcionar por unas horas? Por "X" motivo?

O verdaderamente, tengo un problema de configuracion en el teclado? Despues de lo de ayer, tengo mis dudas en ambas opciones.

Saludos y gracias.

[msc hotline sat]

Está claro que tiene un virus, y lo que conviene es eliminarlo.



Dejese de otras pruebas hasta que ya no lo tenga, de lo contrario no sabrá si lo que hace le sirve de algo, como ha sido el caso :?



saludos



ms, 15-1-2010

[Badan]

:oops: OK.

[msc hotline sat]

Y la muestra que envió era un NAVIPROMO, que pasamos a controlar con el ELISTARA de hoy 20.12, pero no es significativo para lo del ZBOT.



Mas bien nos hará falta descargar el ELINOTIF.DLL en la misma carpeta que el ELISTARA, y ver si el ELISTARA le pide reiniciar y podemos controlar al RootKit de marras, como en los otros casos con variantes del mismo.



saludos



ms, 15-1-2010

[Badan]

Vemos, que me he perdido. :?:

Donde encuentro el archivo ELINOTIF.DLL ?

Debo descargar ELISTARA 20.12?

Saludos.

[VAMPIRA]

Primero descarga el elistara..

Cuando hayas descargado el elistara veras que te encontraras despues de la descarga el archivo elinotif.dll lo descargas dentro de la misma carpeta que el elistara y luego sigue las instrucciones dadas en el anterior post.



Saludos

[msc hotline sat]

Como que ya tienes el ELISTARA 20.11, te sirve el que tienes hasta que nos envies la muestra que te pida, si es el caso, e implementemos su control en una nueva version, pero como que no sabemos si este SDRA64.EXE al que no tienes acceso:


[quote]EliStartPage v20.11 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 14 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.[/quote]

lo conocemos o no, descarga el ELINOTIF.DLL y lo copias en la misma carpeta donde tienes el ELISTARA, luego arrancas en modo seguro y pruebas de nuevo el ELISTARA, a ver si con el ELINOTIF ya puede acceder a él y vemos si lo controla o no, y si es el caso, lo elimina o pide muestra.



En la version 20.12 de hoy no hay ningun control añadido de los SDRA64:



---v20.12-(15 de Enero del 2010) (Muestras de NaviPromo, Trojan.Agent.ABUE "WLCOMMN.EXE", Spy.ZBot.MSxx32 "MS****32.EXE", Trojan.Katusha.E "MSA.EXE", SpyRealtek "ALCMTR.EXE", Malware.Nytemare "DVD-IMAGEN003.exe" y Spambot.Tedroo "MSVMCLS64.EXE")



asi que te puedes ahorrar su descarga. Pero el ELINOTIF lo habrás de bajar tarde o temprano, ya que para los ZBOT - SDRA64 es necesario dicho complemento.



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



saludos



ms, 15-1-2010

[Badan]

He descargado la version 20.12. Esta vez, en modo dscarga (no ejecutar).

Ha detectado un troyano, un z-bot. Cierto, pide ELINOTIF.DLL para desinfectar.

[msc hotline sat]

Sí, la DLL es necesaria para que la instale el ELISTARA en el registro y en el proximo reinicio ya tenga acceso a dicho fichero y si lo conoce, proceda con la eliminacion del RootKit, y sino, pida muestra para analizar.



Posteanos el informe resultado y veremos si ya lo controla o no.



saludos



ms, 15-1-2010

[Badan]

Bien. Dll instalada, y equipo reiniciado.

Fichero [b]SDRA64.EXE.Muestra EliStartPage v20.12 [/b]en formato zip enviado a "sección muestras".

El virus ha sido eliminado.

Añadir, que tras el reinicio de windows, lo acentos estan correctos.

Camión, Avión.

Quedo a la espera de una respuesta.

Gracias.

[msc hotline sat]

Ah, bueno ! :)



La eliminación definitiva la implementaremos en la siguiente version 20.13 del ELISTARA, tras analizar, monitorizar la muestra que dices haber enviado, y asi poder restaurar las claves que modifique y los ficheros que cree, pero de momento lo tienes aparcado en cuarentena, y ya ves que se ha solucionado el problema de los acentos, de lo cual nos congratulamos.



Si quieres, el lunes descarga dicha futura version y liquidarás totalmente el bicho, y verás como incluso el fichero de C:\muestras pasará a la historia, y todos los relacionados con el mismo.



Así que damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 15-1-2010