PUBLICIDAD DE CALGONIT Y DISMINUCIÓN DEL VOLUMEN DEL PC

[koeman09]

Hola!



Soy el usuario que abrió anteriormente un tema con este mismo nombre.

El tema está cerrado por que yo les comuniqué que se había solucionado,pero sólo fue aparentemente,pues hoy vuelvo a tenerlo.

Pese a haber borrado los dos ficheros

C:/System volume information/microsoft/services.exe

C:/System volume information/microsoft/smss.exe

el problema de la publicidad sigue ocurriendo.

Al final del otro tema ustedes citaban problemas con el MRB.

¿Qué es el MBR?

Por favor contesten



Gracias



Un saludo

[msc hotline sat]

Es el Master Boot Record o primer sector físico del disco duro.



En él, como en cada sector, hay 512 bytes, de los cuales los primeros 446 son de código (bueno o malo) y el resto datos de cada particion (inicio, fin, cabezales, sectores, etc.)



Esta zona es crítica y utilizada para el arranque, sin ella no arrancaría el disco duro.



Los virus de MBR residen ahí (aunque luego pueden seguir en otros sectores del disco duro,, no asignados para los ficheros).



Si el disco esta particionado standar (Microsoft, sin dobles arranques de Linux y otras historias) , puedes ejecutar un FIXMBR desde la consola de recuperacion (arrancando con el CD de instalacion de windows y pulsando R), y asi sobreescribir el codigo alterado si es el cado.



Por lo que he leido y dado que no es suficiente con eliminar los ficheros, haz lo indicado y nos cuentas el resultado, gracias



saludos



ms, 5-7-2010

RESJAZ

[elfollonero]

Hola, resulta que tengo este problema desde hace un par de dias también. La cuestión es que yo tengo un gestor de arranque externo llamado GAG y tres particiones: una con windows xp que es donde tengo el problema (no recuerdo haber notado nada en windows 7) , otra con windows 7 64b y una tercera común solo para datos. La cuestion es que tengo puesto el GAG que es un gestor de arranque linux y no instalé los gestores propios de windows, además tengo ocultar particiones para que al acceder a un sistema operativo u otro no se vean las particiones del otro sistema (ocultarlas).



El problema es que si es del MBR como puedo hacer yo ???pq no tengo instalado el gestor de windows.



Gracias.

[msc hotline sat]

Recuerda que este virus es doble, de ficheros y de MBR. Mira lo indicado en https://foros.zonavirus.com/viewtopic.php?f=5&t=32292&p=174082&hilit=calgonit#p174082, y elimina los ficheros del SYSTEM VOLUME INFORMATION\MICROSOFT\ indicados segun allí se explica y prueba el ELISTARA a ver si detecta y elimina el CYCLER



Luego si persiste el problema, mira de volver a instalar este CAG de forma que sobreescriba el código del sector de MBR, o mira si hay alguna opcion para hacerlo. No conozco los detalles de esta utilidad, pero seguro que hay alguna equivalente al FIXMBR del normal sistema operativo de windows. Lo que está claro es que no debes aplicar esta última, pues perderías el arranque especial que tienes.



Saludos



ms, 14-7-2010

RESGALAC

[elfollonero]

Gracias MSC, la verdad no me importaría perder el arranque GAG, el motivo por el que lo puse fué para "evitar que un virus me estropeara el dual" y fué porque lo ponían como más seguro y ahora se ha convertido en un problema . Si hago el fixmbr me sobreescribiría con el arranque windows o podría tener problemas y no arrancarme más?



Por cierto una cosa que igual puede ayudar, he restaurado sistema a un estado anterior y resulta que me un aviso del firewall sobre un archivo que quiere salir a windows y recuerdo que algo así me había pasado antes de todo el lio este, el archivo es adobeARM.exe. En esta ocasión lo he bloqueado para que salga a internet pero podría ser el origen del problema no?

[msc hotline sat]

probablemente no sea virus, es una incidencia ya conocida lo del cortafuegos y este fichero, pero mira lo que dicen al respecto de este fichero:





[i][b]It's part of Adobe 9.0 and 9.2 reader. It's safe. In the future, you can use os search to find files on your computer the right click to open the containing folder which will give you a good idea of what it is. [/b][/i]





y comprobado que no era virus el fichero que se nos envió como muestra en su día: miralo en



https://foros.zonavirus.com/viewtopic.php?f=5&t=31042





Pero claro, el nombre de un fichero no implica su contenido..., aunque muchas veces ayuda :)





Y lo malo de las particiones especiales, como en su día la del Partition Magic, y luego la del arranque dual con Linux, es que si un virus de "particion" (de los que modifican el MBR) sobreescribe parte de dicho sector, asi como con una particion normal de microsoft se repara soplando, con el FIXMBR, con estas otras, si no tienes salvada la informacion de dicho sector (cosa que antes, cuando con los virus de Boot de disquette, que infectaban el MBR del disco duro, recomendabamos tener), vete a saber lo que había antes para reponerlo...



hay virus con tecnicas stealth que hacen una copia de dicho sector a otra parte, para asi engañar presentando el sector copiado cuando se quiere ver el MBR, (el ANTITEL o TELECOM lo copiaba al sector 0,0.7) pero vete a saber si este lo ha hecho...



Dime si este ordenador tiene disquetera, pues tenemos utilidades para, arrancando con disquete, copiar los sectores reservados, y podriamos no solo ver si está modificado sino ademas si hay una copia del MBR en dichos sectores...



saludos



ms, 14-7.2010

[msc hotline sat]

A titulo de informacion, he buscado detalles del CAG con el que no estoy familiarizado y he visto:



[b][i]GAG, EL GESTOR DE ARRANQUE GRAFICO



Versión actual: 4.10



GAG es un programa gestor de arranque, esto es, un programa que se carga en el momento de arrancar el ordenador y que permite elegir que sistema operativo, de entre los que haya instalados en el disco duro, se quiere cargar.



Sus caracteristicas mas importantes son:



•Permite arrancar hasta 9 sistemas operativos diferentes.

•Puede arrancar sistemas operativos instalados tanto en particiones primarias como extendidas, en cualquiera de los discos duros instalados en el ordenador.

•Puede ser instalado desde casi cualquier sistema operativo.

•No necesita una particion propia, sino que se instala en la primera pista del disco duro, la cual se encuentra, por diseño, reservada para este tipo de funciones. Tambien puede ser instalado en disquete, sin tocar para nada el disco duro.

•Incluye un temporizador que permite arrancar un sistema operativo por defecto.

•La configuracion del programa puede ser protegida con clave.

•Todo el programa funciona en modo grafico (necesita una VGA o superior para funcionar), e incluye multitud de iconos para cada tipo de sistema operativo disponible en PC.

•Oculta particiones primarias de modo que se pueden tener varios DOS y/o Windows en un mismo disco duro.

•Permite poner claves independientes a cada sistema operativo, para restringir el acceso a cada uno.

•Facil de traducir a cualquier lengua.

•Puede intercambiar discos duros, permitiendo arrancar desde el segundo disco duro sistemas operativos como MS-DOS.

•Incluye el sistema SafeBoot, que permite seguir arrancando el disco duro incluso en caso de que GAG sea sobreescrito por accidente.

•Soporta varios tipos de teclados internacionales (QWERTY, AZERTY, QWERTZ y DVORAK).

•Soporta discos duros de hasta 4 terabytes (4096 gigabytes).

•Totalmente gratuito (se distribuye bajo licencia GPL con fuentes incluidas).[/i][/b]

[url=http://gag.sourceforge.net/es-index.html]Fuente[/url]





Sabes si aplicaste lo del SafeBoot ???



saludos



ms, 14/7/2010

[elfollonero]

Pues desgraciadamente no tengo disquetera. Recuerdo que al instalar GAG la eché en falta pq quería primero probar a meter en un disquete el arranque.



Lo del safeboot, sinceramente no recuerdo , voy a volver a entrar a ver si veo algo relativo a eso y te comento. Lo del archivo adobeARM.exe me pasó justo antes de los problemas estos del calgonit, por eso ahora que restauré y me salió de nuevo lo he bloqueado.



Aunque he leido que se puede hacer un fixmbr con el disco de xp sin que afecte al GAG , estoy mirando bien como hacerlo pero primero necesito borrar los archivos esos sospechosos.



Indicar también que en windows 7 no hay ni rastro el famoso virus, estoy ahora mismo conectado y no me ha saltado nada raro, seguro que estará metido en el MBR ???



Una pregunta, entonces no hay ningun metodo a través de algun antivirus que ejecutandolo por ejemplo booteable elimine el virus sin necesidad de hacer nada en el mbr??



Estoy mirando lo del safeboot, parece que es para arrancar el último SO utilizado si no carga el GAG, pero yo el GAG lo tengo funcionando correctamente. No se que hacer la verdad.

[msc hotline sat]

Si el ordenador hace lo indicado del anuncio sin conexión exterior, ha de haber algo en el MBR o en los ficheros , pues se descarta que pueda estar en el BIOS ya que si bien se puede modificar, no es probable que lo hagan sin fastidiarla (como en el caso del CIH)



Ahora bien, en lugar del FIXMBR puedes empezar por REPARAR SISTEMA , no sea que se haya metido en ficheros de sistema que llamen a uno que tengan a tal efecto, y ello no se vería en los logs. Es como lo hace el WBOY, si bien este descarga ficheros cifrados en lugar de visualizar anuncios,. mira lo indicado en http://www.zonavirus.com/noticias/2010/nueva-utilidad-eliwboy-para-restaurar-ficheros-modificados-por-el-wboy-y-buscar-los-malwares-que-eran-ejecutados-por-ellos.asp y prueba dicha utilidad tambien



El problema es que si no corresponde a la cadena buscada, y no es de los ficheros de sistema, que con una REPARACION los normalizaríamos, lo tendremos crudo ... pues tendríamos que reinstalar todas las aplicaciones ... o esperar a que lo conocieramos por llegarnos una muestra de la variante del WBOY o lo que fuera.



Y fijarse que este WBOY no modifica ni el tamaño ni la fecha del fichero modificado... !!!



Pero descartando lo que no es, vamos acercandonos a lo que es ... :)



saludos



ms, 14-7-2010





NOTA: A título de comentario, en el caso del WBOY el McAfee detectó como Mariofev (Mario for ever) los ficheros cifrados que descargaba cada 15 minutos... por si fuera el caso.

[msc hotline sat]

Buscando mas información al respecto...



Pues parece confirmarse que afecta al MBR, aparte de probablemente algunos ficheros.



Con la utilidad BOOTKIT.EXE , un ordenador infectado ha indicado lo siguiente:



Bootkit Remover version 1.0.0.1

(c) 2009 eSage Lab

www.esagelab.com



\\.\C: -> \\.\PhysicalDrive0

MD5: aac7d8a98e39dfde27285ef395e66821

\\.\D: -> \\.\PhysicalDrive0



Size Device Name MBR Status

--------------------------------------------

232 GB \\.\PhysicalDrive0 Unknown boot code



Unknown boot code has been found on some of your physical disks.

To inspect the boot code manually, dump the master boot sector:

remover.exe dump <device_name> [output_file]

To disinfect the master boot sector, use the following command:

remover.exe fix <device_name>





Press any key to quit...





___________





Puede descargar esta utilidad :[url=http://www.esagelab.com/files/bootkit_remover.rar]BOOTKIT[/url]

en c:\windows\ por ejemplo, luego arrancar en MODO SEGURO y probarla, pero claro, estaremos en las mismas que con el FIXMBR, la modificacion de dicho sector, de todas formas, bien va saberlo.



saludos



ms, 14-7-2010

[elfollonero]

Entiendo, la cuestion es si con hacer un fixmbr ya estaría solucionado o debería encontrar algo más en el disco duro. He pasado varios antivirus y no encuentro absolutamente nada, ni en modo seguro ni en modo normal.



Creo que hacer un fixmbr no me afecta al GAG con lo cual podría probarlo pero primero , que tengo q hacer antes para borrar digamos lo que está en las carpetas que contiene el virus?

[msc hotline sat]

Pues desactivar la restauracion de sistema y eliminar los ficheros contenidos en c:\system volume information\microsoft\ , como ya se indicó en https://foros.zonavirus.com/viewtopic.php?f=5&t=32292&p=174082&hilit=calgonit#p174082



Y tras lanzar el FIXMBR y reiniciar, cuentenos el resultado, gracias



saludos



ms, 15-7-2010

[elfollonero]

Hola, estoy intetando hacer lo de la carpeta system volume information pero no me deja acceder a ella, me pone acceso denegado. Esta carpeta está solo en xp verdad?? Podeis decirme si este problema del dichoso virus afecta solo a windows xp?? porque como tb tengo w7 no se si debería hacer todo esto en windows 7 tb. Gracias.

[msc hotline sat]

Sí, es la carpeta de la que cuelta la del RESTORE. Para entrar en ella has de desactivar la Restauracion de sistema:



Boton derecho en MIPC ->Propiedades -> Restaurar SIstema -> Desactivar Restauracion de sistema





No te olvides de volverla a activar una vez termines el proceso.



saludos



ms, 15-7-2010

[elfollonero]

[quote="msc hotline sat"]Sí, es la carpeta de la que cuelta la del RESTORE. Para entrar en ella has de desactivar la Restauracion de sistema:



Boton derecho en MIPC ->Propiedades -> Restaurar SIstema -> Desactivar Restauracion de sistema





No te olvides de volverla a activar una vez termines el proceso.



saludos



ms, 15-7-2010[/quote]

Lo estoy intentando y ya tenía el restauración desactivado y aún así no me deja acceder. Primero que no la encuentro, y lo que hice fué copiar la ruta en el navegador de windows y es cuando me sale el mensaje de acceso denegado. Es imprescindible ese paso para poder seguir??

[msc hotline sat]

Una vez desactivada la restauracion de sistema, arranca en MODO SEGURO , es la forma en la que lo hacemos para eliminar las copias de los malwares en el RESTORE.



Y aparte de los ficheros, mira lo que indicamos sobre el BOOTKIT.EXE que te indicamos ayer :



http://www.zonavirus.com/noticias/2010/bootkit-remover-utilidad-para-corregir-sector-mbr.asp



saludos



ms, 15-7-2010

[elfollonero]

Hola de nuevo. Sobre lo del system volumen lo hice bien, primero desactive restaurar sistema, luego reinicie y fuí a modo seguro , y ahí intenté hacer lo de cambiar el nombre al archivo con el virus pero no me deja entrar. Comprobé desde modo seguro si había quedado correctamente desactivado restaurar sistema y si que estaba desactivado.



Ahora mismo estoy pasando un antivirus boot , cuando acabe lo vuelvo a intentar y hago lo del bootfix. Por cierto, todo lo hago desde modo seguro no?



Muchas gracias por tu tiempo y dedicación.



Ah, pero hay que hacer primero lo del bootfix no??? es que yo lo intentaba antes de hacerlo. Voy a probar. Maldito virus, que dolores de cabeza me está dando.

[msc hotline sat]

Hay que probarlo y comprobarlo... estas siendo conejillo de indias :) pero lo haces muy bien :) :) :)



venga que ya falta menos !



saludos



ms, 15-7-2010

[elfollonero]

hola, estaba esperando que terminada un escaneo que estaba haciendo con kaspersky y me ha encontrado un virus , es este: trojan-downloader.java.agent.ff



Debo borrarlo? estoy con un live cd de rescate de kaspersky. El virus está en C:\Users\sebas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1...(hilera de numeros) \AppleT.class



Y también sale en Mnt\mounted devices...etc (que es el antivirus boot me imagino).



Que hago con esto???



Cuando acabe con esto voy a hacer lo del bootfix.Muchas gracias.

[msc hotline sat]

En lugar de borrarlos, añade .VIR a su extension, y reinicia, asi ya no se pondrán en memoria.



Y nos los envias para analizar, a ver qué son ...



Con ello ya tendremos aparcados los ficheros, no incordiarán, y podremos analizarlos y controlarlos si procede.



saludos



ms, 15-7-2010

[elfollonero]

hola, resulta que hice lo del bootfix y arranca xp pero ni rastro de windows 7 ni el gestor que usaba. Ahora si que estoy jodido. :(

[msc hotline sat]

Entonces con esto que tenías tampoco podías haber hecho un FIXMBR ... Deve ser un sector con un código especial en el sector de partición. Es lo malo que tienen tanto el Partition Magic como los dobles arranques con Linux /Windows.



Pero revisando sus caracteristicas decia:



[b][i]•Incluye el sistema SafeBoot, que permite seguir arrancando el disco duro incluso en caso de que GAG sea sobreescrito por accidente.[/i][/b]



Considerando que lo que has hecho con el BOOTFIX es como si lo hubiera sobrescrito un virus, mira si con esto del SafeBoot puede restaurarlo y seguir arrancando... No conozco esta aplicación, mira de informarte al respecto y a ver si recuperas el arranque, y sino, quitatelo de encima que conlleva estos riesgos !



saludos



ms, 16-7-2010

[elfollonero]

HOla de nuevo. Lo del safeboot no creo que valga pq me arrancara el ultmo sistema que use que fué xp...



Yo necesito tener ambos, xp y windows 7. Que metodo es más seguro para tener ambos y no tener que pasar por todo esto si me entra un virus ( el primer virus q me ha entrado en mi vida y hace años que tengo ordenador)

[msc hotline sat]

Para esto no hace falta tener ninguna particion especial, la standar basta.



Para instalarlo primero hay que instalar el XP y luego el Windows 7



Lo importante, como has visto, es no tener cosas raras en estos sectores que pueden ser modificados por virus, aunque seas afortunado y no tengas mucho contacto con ellos, pero haberlos , hailos !



Al menos habrá dejado de salir el anuncio, verdad ??? :) Porque sino, sería el colmo !!!



saludos



ms, 16-7-2010

[elfollonero]

Si, el anuncio no sale. Aunque el equipo anda regular, algo lento. Ahora tengo que intentar arreglar lo otro. Gracias.



Por cierto , es más seguro entonces el gestor de arranque de windows7? me habían aconsejado este porque así si tenía un problema con un SO podría recuperar desde el otro pero se me está complicando en demasía la cosa...

[msc hotline sat]

Entiendo que este es standar de windows, mientras que el otro ya lo has visto...



Pero por lo menos algo has ganado, aparte de la experiencia :)



saludos



ms, 16-7-2010