virus que se carga archivos (TERMINADO)

[Olats]

Hola , estoy desesperada y os cuenta mi caso: creía que sólo había perdido una carpeta, aunque me parecía estúpido pensé que a lo mejor la había movido sin querer, hice una búsqueda y nada: la carpeta y ninguno de sus archivos no estaba. Y luego emepecé a mirar. Madre mía, medio equipo a tomar por culo, se me ha cargado las carpetas que más recientemenet había creado, todos los proyectos de edición que estaban a medias, pelis, música, documentos... y luego otras muchas de aquí y de allí, al azar, tanto que ni yo misma puedo ser conciente en este momento de todo lo que he perdido. Muchas cosas las tenía en copias de seguridad, pero muchoas otras no. Por el momento he pasado 5 antivirus (malware, avast...) y solamente uno me ha detectado dos virus de peligrosidad alta que evidentemente ya están borrados: son dos Malob-as. Sin embargo, he buscado información sobre el malob pero sobre el malob-as apenas se dice nada. No sé si serían estos o no lo que me han perdido todos mis archivos.



Por el momento sigo pasando antivirus y antirootkits y he probado con algun programa de recuperación de archivos pero no valen una pito y no he podido recuperar nada.



Quizá debería probar con el kapersky, lo que pasa es que es incompatible con los que tengo actuando ahora y lo que no quiero es quedarme sin protección ni aunque sea por 5 minutos que ya tube malas experiencias una vez con un rootkit en eso que os estoy contando al querer instalar un antivirus mejor y quedarme a la buena de dios durante unos minutos. Luego ya no me dejó instalar nada y en fin... una pesadilla, ni os cuento!



Supongo que acabaré por formatear el ordenador. No se, qué hago? qué sabéis de ese virus, del malob? hay algun otro tipo de virus que se cargue archivos? cómo se llaman?



Y finalmente, hay pelis que no se han borrado y que sin embargo no responden al abrirlas con el reproductor. Los codecs necesarios para su correcta visualización están instalados. Antes funcionaban perfectamente y ahora....



Opiniones por favor! Ayuda!!!!! Estoy desesperada y sólo de pnesar en el trabajo que me llevará recuperar lo que tenía me mareo....

[msc hotline sat]

Por lo que tengo de experiencia con esta familia de troyanos, pertenece al tipo de Palevos, que utilizan el taskman para su lanzamiento.



Prueba el ELIPALEVO.EXE , a ver si lo detecta y elimina, y luego veremos si las carpetas se han recuperado o cabe hacer algo mas, pues no me consta que tenga como payload su borrado, y con un poco de suerte no se habrá perdido nada, solo ocultado ... ???



y como que este bicho se transmite por pendrive, lanza tambien el ELIPEN tanto en los ordenadores como en los pendrive, para protegerlos si fuera el caso.





[b] ELIPALEVO.EXE: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp



[b] ELIPEN.EXE: [/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 20-6-2010

RESLG









ANEXO:

Y buscando como lo detectan los antivirus, veo que algunos lo llaman downloader, otros Fake AV, y alguno como el Avast le llama MalOb-AS:



Avast 4.8.1351.0 2010.05.23 Win32:MalOb-AS

Avast5 5.0.332.0 2010.05.23 Win32:MalOb-AS

AVG 9.0.0.787 2010.05.23 FakeAV.BQB

BitDefender 7.2 2010.05.23 Gen:Variant.Renos.14

ClamAV 0.96.0.3-git 2010.05.22 -

Comodo 4920 2010.05.23 -

DrWeb 5.0.2.03300 2010.05.23 BackDoor.Click.987

eSafe 7.0.17.0 2010.05.20 -

eTrust-Vet 35.2.7503 2010.05.21 -

F-Prot 4.6.0.103 2010.05.23 W32/FakeAlert.GR2.gen!Eldorado

F-Secure 9.0.15370.0 2010.05.23 Gen:Variant.Renos.14

Fortinet 4.1.133.0 2010.05.23 -

GData 21 2010.05.23 Gen:Variant.Renos.14

Ikarus T3.1.1.84.0 2010.05.23 Trojan.Fakeav

Jiangmin 13.0.900 2010.05.22 -

Kaspersky 7.0.0.125 2010.05.23 -

McAfee 5.400.0.1158 2010.05.23 Downloader-CEW.b

McAfee-GW-Edition 2010.1 2010.05.23 -

Microsoft 1.5802 2010.05.23 -

NOD32 5138 2010.05.22 a variant of Win32/Kryptik.EMB

Norman 6.04.12 2010.05.23 -

nProtect 2010-05-23.01 2010.05.23 Gen:Variant.Renos.14

Panda 10.0.2.7 2010.05.23 Generic Trojan

PCTools 7.0.3.5 2010.05.23 -

Rising 22.48.06.04 2010.05.23 -

Sophos 4.53.0 2010.05.23 Mal/FakeAV-CX



Por lo que podría tratarse de un downloader (descargador) que instalara un FAKE AV (falso antivirus), por ello además de las utilidades indicadas, propongo que pruebes el ELISTARA, y por si se tratara de una variante no controlada, nos postearas el informe generado por el SPROCES:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.





Y por cierto, por tu IP creo que somos vecinos :) , será aun mas placer ayudarte !



Ahora voy a comer en el restaurante que tiene mi vecino en LG, y a la vuelta miraré si has leido mi respuesta y has probado lo indicado. Espero tus noticias.



ms.

[Olats]

Muchísimas gracias por responder y además tan bien como lo has hecho. El caso es que no he hecho los deberes porque he leído eso demasiado tarde. Bueno, y por otro motivo y es que antes de leer tu respuesta he pasado un recuperdaor de archivos que me ha ido bien. Pero el caso es que de todos los archivos sólo un tercio eran recuperables y el resto estaban dañados parcial o totalmente.



Sólo te puedeo decir que cuando eché en falta la primera carpeta estaba intentando reinstalar unos plugins que de repente habían dejado de funcionarme. Lo hacía a través de una carpeta en mi disco en donde guardo todos los exes que me he ido instalando en el disco local. Como eran unos plugins que ya venían integrados en mi editor -pinnacle 14-, pues decidí desisntalar el editor y volverlo a reinstalar completo. Pero resulta que la instalación terminaba prematuramente y no me daba opción a instalarle los plugins. Fui demasiado deprisa y sin pensar: decidí desisntalar el editor de nuevo y, para ir más tranquila, borrar su correspondiente carpeta en archivos de programa, que claro, no la borré, pero le cambié el nombre. Hice todo, reinicié y zas! luego se me ocurrió... un poco tarde... miré y la subcarpeta de plugins del editor resulta que no estaba. Pensé que la habría movido, la busqué pero nada. Y luego, paseándome por el pc, pude ver el desastre completo.



No sé si muchos de los archivos dañados -me refiero a los de pinnacle- pueden estar dañados por haberle cambiado el nombre a su carpeta en su momento. Muchos otros programas que se han esfumado se recuperaban por partes diminutas, mezcladas con las de otros programas y sin reconocerles ninguna ruta especifica, de modo que era imposible restaurar su funcionamiento. O, por lo menos, con mi limitado conocimiento informático, yo no tenía ni idea de cómo hacerlo.



En definitiva: he rescatado cuatro mierdas, pero algo es algo. Ya he formateado el ordenador y ahora estoy en la tarea de recuperar todo cuanto antes. Lo que quedó de la carpeta mía de programas le he pasado 10.000 antivirus pero como no me fio de ninguno al final la he mandado a la m***da también. Tengo una parte en copias de seguridad, así que...



No me queda más que darte las gracias a pesar de todo. Me queda pendiente lo del pendrive, que sin duda lo haré.



Un beso y gracias de nuevo.

[msc hotline sat]

Pues nada, muerto el perro, se acabó la rabia...



Efectivamente, te queda por vacunar prdenador y pendrives con el ELIPEN, pues de lo contrario por acceder a cualquier de los pendrive que se hubieran infectado, te volverían a infectar el ordenador.



Y dando por terminado el Tema, procedemos a cerrarlo, pero si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 21-6-2010