virus protector falso antivirus (TERMINADO)

[seram]

He introducido inocentemente esta virus que iba haescanearme el sistema mientras trabajaba.

Me ha dado error y he tenido que reiniciar saliendo para mi sorpresa este antivirus en inicio sin manera de esquivarlo, ni en modo a prueba de errores.



Me enterado , con otro ordenador, por que el mío sigue escaneando, que es más falso que judas que no escanea y que los ciento de virus son inexistentes pero la unica salida que te da es que pagues una cantidad para bajarte el antivirus y solucionar el problema.



Me dicen en una pagina web como quitarlo pero tiene un mal punto de partida y es que a ellos les funciona en modo a rpueba de errores y ami me sale directamente el antivirus este sin poder hacer nada.



Una ayuda quiero, que no puedo trabajar.

Gracias

[msc hotline sat]

Arranca en modo seguro y prueba el ELISTARA:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



si no pudieras arrancar en dicho modo, arranca en modo normal y pulsa con el botón derecho el icono del ELISTARA y escoje EJECUTAR COMO ADMINISTRADOR



saludos



ms, 3-3-2010

RESGR

[seram]

No puedo arrancar en modo seguro, ni normal por que me salta el falso antivirus que me bloquea toda acción.

[msc hotline sat]

Y qué te dice cuando pulsas repetidamente F8 al arrancar ???



Te aparece el menú de opciones ???



Ves la de arrancar en modo seguro ???





Y sino, arrancando en modo normal, aunque incordie el bicho, en lugar de ejecutar el fichero ELISTARA directamente, haz lo que te decimos, boton derecho sobre su icono y EJECUTAR COMO ADMINISTRADOR



Hemos tenido muchos casos como el tuyo... y hasta ahora de una forma o de otra todos los hemos resuelto



saludps



ms, 3-3-2010

[kliote]

hola! he tenido distintos problemas con antivirus o antispyware falsos, lo que hice fue reinicar el ordenar en "modo seguro" y limpiar todo con [INTERCEPTADO POR LUCLl] y listo. en caso de que temas perder algun fichero puede recuperarlo con [INTERCEPTADO POR LUCL ]. POR https://foros.zonavirus.com/viewtopic.php?f=1&t=17044

pero responde que suce cuando presionas F8! asi sabremos como ayudarte!

espero te sirva!

mica kliote

[seram]

Cuando presiono F8 me sale el menu para elegir distintos modos, hablo de memoria, en modo de prueba, en modo de prueba con ... y luego me lleva a otra pantalla que me da a elegir el sistema operativo con una sola opción, la de Windows. Una vez elegida me sale la pantalla con el borde con el membrete de modo de prueba o a prueba de fallos (no lo recuerdo bien) y acto seguido me sale el símbolo de Windows y luego la pantalla de las narices del virus protect, con la foto que tengo en el escritorio pero sin nada más, ni botón de inicio, ni ná. Cuando intento resetearlo me dice que el administrador ha bloqueado la aplicación de administrador de programas.



Iniciando de otro modo que ahora no recuerdo (habiendo presionado F8 al iniciar) llego a una pantalla tipo msdos que no recibe ordenes del teclado, es decir no puedo escribir nada.

Había pensado que el programa que me decís que instale funciona a modo de disco de arranque como aquellos que se hacían antiguamente, pero no se si es así y podría bajármelo para luego introducirlo por un dispositivo que lo lea antes que el disco duro... no tengo ni idea.



Como veis para partirse de risa.

[msc hotline sat]

Para "Kliote", decirte que revisando lo correctamente interceptado por lucl, si "seram" pudiera ejecutar alguna utilidad, ya lo haría con el ELISTARA, y además la segunda opcion es para "[i]recuperar archivos que han sido borrados o eliminados por accidente de la papelera de reciclaje o durante algún mal funcionamiento del ord[/i]enador" lo cual no es el caso.



ms,

RARBA



Para "seram", el quick de la cuestion es que, arrancando en modo seguro, y aun activandose el incordio, ya que dices que ves el escritorio de windows, una vez allí pulsa con el boton derecho el icono del ELISTARA y selecciona EJECUTAR COMO ADMINISTRADOR, así podrá funcionar sin que le intercepte dicho engendro.



Si aun no lo tuvieras copiado en este ordenador, haz lo propio desde MIPC y tras escoger la unidad donde tengas el ELISTARA, sigue lo indicado.



Con mayor o menor dificultad, la cuestion es lanzar el ELISTARA :) !



y lo que dices de arrancar con otro medio, lo mas facil sería colocar el disco duro como esclavo de tu otro ordenador (por ejemplo del que utilizas para escribir en el foro ahora) y desde el MASTER lanzar el ELISTARA seleccionando para escanear la unidad del esclavo. Con ello no corregiremos de momento el registro afectado, pero por lo menos eliminaremos o moveremos a C:\muestras los ficheros sospechosos, y asi no se pondrán en marcha al arrancar dicho disco duro normalmente.



Luego vuelve a pasar el ELISTARA, ya normalmente, para corregir el registro de sistema afectado por este malware.



Venos contando tus progresos al respecto, gracias



saludos



ms, 4-3-2010

[seram]

¿Como se hace eso de arrancar como esclavo de otro ordenador?.¿Podría hacer lo mismo metiendo en un CD el Elistara, o en un USB, Disco duro externo?.

De las otras soluciones de ejecutar lo que sea desde el ordenador infectado olvidate porque no permite nada. Decirte que dejé al falso antivirus hacer por completo el falso escaneo dandome como resultado 400 y pico archivos infectados y no se cerró ni me dejó seguir funcionando, la única posibilidad la de pagar cerca de 60€ para bajarse el antivirus. He leido por otro lado que aún pagando no deja hacer nada.

Es un pirata que acaba con los rehenes.



Bueno: ¿Como hago esclavo a mi ordenador?, si no sujeris otra cosa.

[msc hotline sat]

Para poder correr el ELISTARA has de arrancar el ordenador con Windows, bien desde otro disco duro MASTER, o bien arrancando con un CD "pilitos" o si tu ordenador lo permitiera, desde un pen con arranque, ya que con un LIVE CD con Linux no corren las aplicaciones de windows.



Lo de ponerlo como esclavo es sacar el disco duro de tu ordenador, cambiar el jump si lo tiene, posicionarlo como esclavo (SLAVE) y conectarlo a la controladora que equipa el del MASTER.



Arrancas con el MASTER, lanzas el ELISTARA y nos cuentas lo que refleje el C:\infosat.txt



Luego de vuelta a su sitio, no te olvides de volver a cambiar dicho jump a MASTER



saludos



ms, 4-3-2010

[seram]

Como es eso del Pen con arranque o el cd

[msc hotline sat]

No lo tenemos soportado en el foro, busca con el Google "pilitos" y crea un CD con la ISO que te ofrezcan.



El arranque desde pendrive requiere disponer de un PC que lo contemple y el mio no lo es ... Si el tuyo lo es, seguro que encontrarás igualmente mas informacion en Internet



saludos



ms, 4-3-2010

[tarraco]

Hola. Tengo el mismo problema con el mismo virus. He seguido las instrucciones que habeis indicado, ejecutando el elistar desde un pen y luego desde MiPc, ya que he conseguido "engañarlo" y poder ejecutar el explorador de archivos.

La verdad es que la primera vez que lo he ejecutado me ha encontrado 4 ficheros infectados y que a priori a eliminado, pero aun tengo el mismo problema.

La segunda vez no ha encontrado nada y sigo con el virus.

Alguna idea chicos ?

Os posteo el resultado de la pr (24-3-2010 18:32:58 (GMT))

EliStartPage v20.60 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Program Files\shARES\tbshA1.dll.VIR --> Eliminado.

C:\Program Files\Shareware.Pro\tbShar.dll.VIR --> Eliminado.

Eliminados Ficheros Temporales del IE



(24-3-2010 19:18:43 (GMT))

EliStartPage v20.60 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Program Files\Peer2Peer\TBPEER.DLL --> Eliminado, TBConduit(tb)

C:\Program Files\shARES\TBSHA0.DLL --> Eliminado, TBConduit(tb)

C:\Program Files\shARES\TBSHAR.DLL --> Eliminado, TBConduit(tb)

C:\Users\Maria\AppData\Local\Temp\Low\BLOMIY.EXE --> Eliminado, AntivirusSystemPRO



Nº Total de Directorios: 30614

Nº Total de Ficheros: 179369

Nº de Ficheros Analizados: 39318

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



(24-3-2010 19:20:53 (GMT))

EliStartPage v20.60 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\USERS\JORDI\APPDATA\LOCAL\KGOYWYS_NAVPS.DAT --> Eliminado

C:\USERS\JORDI\APPDATA\LOCAL\KGOYWYS_NAV.DAT --> Eliminado

C:\USERS\JORDI\APPDATA\LOCAL\KGOYWYS.DAT --> Eliminado

C:\PROGRAM FILES\PEER2PEER\TBPEE1.DLL --> TBConduit(tb) Acceso Denegado.

C:\PROGRAM FILES\SHARES\TBSHA1.DLL --> TBConduit(tb) Renombrado a .VIR

C:\PROGRAM FILES\SHAREWARE.PRO\TBSHAR.DLL --> TBConduit(tb) Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "KGOYWYS"=""c:\users\jordi\appdata\local\kgoywys.exe" kgoywys"

Eliminada Class, "{1B05FC31-35FB-4D12-86B9-D88A52736349}" -> C:\Program Files\Peer2Peer\tbPee1.dll

Eliminada Class, "{9C905B42-976E-43C1-BC30-FC5937017909}" -> C:\Program Files\shARES\tbshA1.dll

Eliminada Class, "{D82B1EC9-0D76-4F88-9FE6-4E92D2A8EA93}" -> C:\Program Files\Shareware.Pro\tbShar.dll

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(24-3-2010 19:39:25 (GMT))

EliStartPage v20.60 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-3-2010 19:42:44 (GMT))

EliStartPage v20.60 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

imera ejecucion:

[lucl]

Pues que te abras un post para ti ya que este es de otro forero y sigas las indicaciones que ha dado Msc. Si ya las seguiste todas mañana te dira algo mas al respecto saludos

[msc hotline sat]

En cualquer caso y válido para todos:



Cada día aparecen nuevo Fake Alerts, ocultados por Rootkits como el ZBOT, descargados por Bredolabs, etc, y para descubrirlos e implementar su control y eliminacion en el ELISTARA, primero hemos de analizarlos, monitorizarlos y desarrollar nueva version de dicha utilidad al respecto, y ello lo hacemos en base al log generado por el SPROCES, asi que, a quienes el ELISTARA no detecte el FAKE AV que incordia, ademas del infosat.txt, postearnos el log generado por el SPROCES:




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]





lo analizaremos e informaremos al respecto.



saludos



ms, 25-3-2010

[valentino954]

Me he registrado para poner la solución que a mi me ha funcionado.



Reinicias y con F5 escoges la opción Modo seguro con símbolo del sistema. Una vez ahí te mueves a C:\Windows\System32\Restore y ejecutas rstrui.exe



Restauras el sistema a un estado anterior al que fuiste infectado por el virus y listo.



Espero que le sirva a alguien, ya que yo me volví loco para solucionarlo ya que no dejaba hacer nada el virus este.

[msc hotline sat]

Si existe un punto de restauracion anterior al problema, es lo primero que decimos en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=26947



para lo cual disponemos del ELRSTRUI.EXE, muy comodo a tal efecto.





y veo que eres nuevo, valentino954, mira las Normas de este foro antes de postear:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17382



Y viendo que el Tema estaba inactivo desde hace 1 mes, lo damos por terminado y procedemos a cerrarlo



saludos



ms, 25-4-2010

RESONOBA