ema windows alureon (SOLUCIONADO)

[Claudia34]

Hola como estan, veo que todavia no se fue por completo el virus alureon del mbr, hasta ahora he visto ciertas cosas extranas, como por ejemplo

1ª que si tengo instalado windows 7 al realizar un escaneo con elsitara me detecta el dichoso virus, pero si tengo windows xp no lo detecta en modo a prueba de fallos el elistara.



2ª Al realizar un escaneo con elistara pero yendo a inicio -accesorios-simbolo de sistema y al querer ejecutar el elsitara me aparece la sigiuiente ventana diciendo que el archivo esta modificado por un virus y debo contactar con satinfo.



3ª Una solucion que encontre para realizar el escaneo del elsitara en windows 7 y que no aparesca ema windows es descargar un archivo llamado mbrfix64 y colocarlo en system32 y luego abrirlo con eso el elistara no encuentra nada y no se produce el cuelgue en el inicio con ema windows.



4ª al usar el paso 3 la herramienta TDSS DE kaspersky que es un antirootkit para matar el alueron detecta cosa que no hacia antes ciertos servicio oculto llamado monitor cuyo MD5 es b03d591dc7da45ece20b3b467ebaadaa aunque lo analice con virus total y ninguno encontro nada extrano



5ª Tanto el archivo supuestamente infectado llamado monitor y elistara se los envio para ser analizado.



Este virus me deja perpleja, por ahora parece que se soluciono aplicando el paso 3 pero estoy seguro que si formateo el S.O. e instalo windows 7 al escanear solamente con elistara me encontrara virus alureon.



Saludos y gracias desde ya por las ayudas.

[lucl]

Como ya has dado todos los pasos necesarios tu, tan solo te queda esperar que lo miren mañana y te diran algo. Saludos.

[Claudia34]

Y 6ª otra cosa que he notado es que cada vez que quiero formatear e instalar un S.O. me aparecen 4 particiones en vez de 2 que serian la particion c donde esta windows y los programas y la otra particion de 100 mb donde estan los controladores, las otras 2 particiones son desconocidas y valen siempre 0 mb, y antes de que apareciera el virus no era asi.



Ojala las empresas de seguridad implementen herramientas antirootkits que se puedan utilizar en DOS antes de iniciar el S.O. y que se puedan arrancar mediante cd, dvd o pendrive esa si que seria una forma efectiva de eliminar este tipo de virus que estan antes que el S.O. arranque.



Saludos.

[msc hotline sat]

Hola Claudia!



Pues recibidas las muestras, se pasan al departamento de analisis, y en cuanto me informen del resultado te lo comento. Muy curioso lo que cuentas de que

"1ª que si tengo instalado windows 7 al realizar un escaneo con elsitara me detecta el dichoso virus, pero si tengo windows xp no lo detecta en modo a prueba de fallos el elistara."

Ello indica que el W7 no tiene la misma proteccion de acceso al MBR que tiene el XP... pues si que vamos apañados !



Lo que cuentas del MBRFIX64 trataremos de replicarlo. Es un fichero que no conocemos.



Seguiremos informando...



saludos



ms, 31-1-2011

[msc hotline sat]

Cuidado con este MBRFIX64.EXE, puede ser malware:



http://www.greatis.com/appdata/d/m/mbrfix64.exe.htm:







envianos dicho fichero para analizar, gracias



saludos



ms, 31-1-2011

[Claudia34]

Este es el analisis de virus total, y ya les envio la muestra



file-1462520_exe

Submission date:

2010-10-11 04:30:47 (UTC)

Current status:

finished

Result:

0 /41 (0.0%)



VT Community



goodware

Safety score: 100.0%

Compact

Print results

Antivirus Version Last Update Result

AhnLab-V3 2010.10.10.00 2010.10.09 -

AntiVir 7.10.12.168 2010.10.10 -

Antiy-AVL 2.0.3.7 2010.10.11 -

Authentium 5.2.0.5 2010.10.10 -

Avast 4.8.1351.0 2010.10.10 -

Avast5 5.0.594.0 2010.10.10 -

AVG 9.0.0.851 2010.10.10 -

BitDefender 7.2 2010.10.11 -

CAT-QuickHeal 11.00 2010.10.09 -

ClamAV 0.96.2.0-git 2010.10.11 -

Comodo 6347 2010.10.11 -

DrWeb 5.0.2.03300 2010.10.11 -

eSafe 7.0.17.0 2010.10.07 -

eTrust-Vet 36.1.7901 2010.10.08 -

F-Prot 4.6.2.117 2010.10.10 -

F-Secure 9.0.15370.0 2010.10.11 -

Fortinet 4.2.249.0 2010.10.10 -

GData 21 2010.10.10 -

Ikarus T3.1.1.90.0 2010.10.11 -

Jiangmin 13.0.900 2010.10.10 -

K7AntiVirus 9.65.2713 2010.10.09 -

McAfee 5.400.0.1158 2010.10.11 -

McAfee-GW-Edition 2010.1C 2010.10.11 -

Microsoft 1.6201 2010.10.10 -

NOD32 5519 2010.10.11 -

Norman 6.06.07 2010.10.10 -

nProtect 2010-10-10.01 2010.10.10 -

Panda 10.0.2.7 2010.10.10 -

PCTools 7.0.3.5 2010.10.11 -

Prevx 3.0 2010.10.11 -

Rising 22.69.00.01 2010.10.11 -

Sophos 4.58.0 2010.10.11 -

Sunbelt 7034 2010.10.11 -

SUPERAntiSpyware 4.40.0.1006 2010.10.10 -

Symantec 20101.2.0.161 2010.10.11 -

TheHacker 6.7.0.1.054 2010.10.10 -

TrendMicro 9.120.0.1004 2010.10.11 -

TrendMicro-HouseCall 9.120.0.1004 2010.10.11 -

VBA32 3.12.14.1 2010.10.08 -

ViRobot 2010.9.25.4060 2010.10.11 -

VirusBuster 12.67.11.0 2010.10.10 -

Additional information

Show all

MD5 : 741910cba1dfec9fc83f1d3210c88c09

SHA1 : 10fa4a4d9d167a589cecfad27ba919bab84f2933

SHA256: 8e01a867ff4eac8c712f77a725c1d16887ed06fe73c363dfb1b123d88d74a0be



La verdad que las cosas que hace este virus son bastante peculiares, seria bueno tener una muestra de ella, y otra cosa yo he visto que tienen en satinfo una herramienta que se llama copymbr o algo asi quieren que lo utilice.



Saludos.

[msc hotline sat]

El CopyMBR es para cuando se sospecha de que pueda haber el MBR diferente, poderlo copiar, enviar para analizar e incluso subirlo al VirusTotal a ver si algun AV reconoce algo ...



Una vez ya has hecho tantas cosas no creo que quede ningun bicho vivo, pero si quieres pruebalo y subes dicho fiochero al VT; y si nadie detecta nada...



y el MBRFIX64, depende de lo que contenga, pues el nombre no es imperativo de lo que ha de haber dentro... y dadas las rarezas en tu equipo, cabe pensar mal de todo !



Las muestras antes recibidas, resultaron ser normales, el ELISTARA no dio problemas y el monitor es de microsoft.



Veremos esta que dices nos envias, pero si VT no ha detectado nada...



Y recuerda que el ELISTARA mejor pasarlo en MODO SEGURO y con Propiedades de ADMINISTRADOR.



saludos



ms, 31-1-2011

[msc hotline sat]

Recibida muestra del MBRFIX64 resulta ser del mismo fabricante que el conocido MBRFIX, que es una alternativa al FIXMBR de Microsoft



publisher....: Systemintegrasjon AS

copyright....: Copyright (C) 2004-2009 Systemintegrasjon AS

product......: MbrFix Application



Mas bien debe ser para sistemas de 64 bits, pero si te ha ido mejor que el standar :?: , quedamos enterados :!:



Y tras todo lo hecho e indicado, dinos si persiste algun problema o podemos dar por solucionado el Tema, gracias



saludos



ms, 31-1-2011

[Claudia34]

Hola ya revise con virus total la copia del mbr de mi pc y no encontro nada, esta limpio, pero lo raro de todo es que ahora pareciera que esta limpia la pc, pero si formateo he instalo win 7 enseguida elistara en modo a prueba de fallos y como admnistrador detecta el alureon, aunque a esta altura ya no se que pensar, capaz que sea UN falso positivo del elistara, y otra cosa que no comente es que tambien el elitrip encuentra un servicio llamado MONITOR y lo elimina segun el infosat, voy a tratar de pegar el informe.

En el caso de que existiese un virus en la pc no me queda otra que convivir con ese virus en la pc porque hasta ahora no encontre una solucion completa al problema, si encontre soluciones parciales, pero....

Y viendo esa pagina que dice que contiene un troyano el MBRFIX64 tambien veo que en esa misma pagina recomiendan una herramienta de eliminacion, mi pregunta es si es recomendable para usar esa herramienta en la pc.



Saludos.

[msc hotline sat]

Pues ahora me informan que lanzando este MBRFIX64 no se puede monitorizar por no ser unba aplicacion valida win32... no será que este sistema que tienes de windows 7 es el de 64 bits ? Asi se entendería todo.



Y no conozco lo que ofrecen en la publicidad de la pagina web, simplemente la he indicado como info de dicha aplicacion...



Lo mas logico es pensar que el DVD que tienes del Windows 7 sea una version que implante este MBR y acepte dicha utilidad del MBR, dejalo asi y solo si tuvieras alguna anomalía que te impidiese trabajar, abres otro Tema y nois lo comentas



Nosotros con lo indicado, damos por solucionado el Tema y proecedmos a cerrarlo



saludos



ms, 31-1-2011