TENGO UN VIRUS EN EL ORDENADOR Y NO SE QUÉ HACER!!!

[carlos_1984]

Hola a todos!!



Vaya de antemano que no tengo ni idea de la cuestión de los virus del ordenador. Mi problema esque teniendo el antivirus AVG, me salta una alerta cada dos por tres de que se detectaron amenazas, y no se como solucionarlo. Al hacer un análisis del equipo me sale lo siguiente:



Archivo: c:/ windows/system32/services.exe

Infección: Troyano Patched_c.LZI

Resultado: el objeto se encuentra en la lista blanca ( archivo del sistema o critico que no se debe eliminar)



Y esque yo creo que es el causante de que desde hace un tiempo mi ordenador vaya lento y a veces se quede sin conexión a internet y no me deje meterme a las páginas.



Como podría solucionarlo??



Muchas gracias de antemano!!



Un saludoooo!!!!

[msc hotline sat]

El services.exe es un fichero de sistema que no debe eliminarse, y la detección del AVG debe ser un servicio malware que se lanza a traves de dicho services, pero el fichero en sí no es malware.



Para tratar de ver el malware que tienes realmente, sugerimos que pruebes el ELISTARA :


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



y si no detectara malwares ni pidiera envio de sospechosos, lanzar el SPROCES y pulsar en SALIR, tras lo cual generará informe en c:\sproclog.txt, que nos pueden enviar para analizar:


[quote="para DESCARGAR el SPROCES, msc"]



http://www.zonavirus.com/descargas/sproces.asp


[/quote]

saludos



ms, 24-7-2012

[carlos_1984]

Hola de nuevo!!!



Por lo que he entendido, ese fichero no es ningún virus no???y entonces que tendría que hacer para que no me esten saliendo todo el rato las ventanitas del AVG advirtiendome sobre esta amenaza??? Y si no se puede eliminar que hay que hacer con el??? Si no es ningún virus y está todo bien, yo lo que quiero esque ya no me aparezcan estas ventanitas tan molestas!! je,je...



Por otro lado, el programilla ese que me has puesto es para escanear el ordenador...mi pregunta es: eso no lo hace ya el AVG o que????



Una vez más disculpa mi ignorancia en estos temas,



Un saludo.

[msc hotline sat]

Cada antivirus hace lo que puede, dentro de los que conoce, y ninguno los conoce todos ni puede con todos ellos.



Ante dicha detección del AVG, hemos supuesto que podía haber un RootKit oculto, lanzado por dicho services, y hemos buscado alguna coincidencia y hemos visto, en otro Tema, que un usuario con AVG le detectó, como a Vd, dicha deteccion:



"C:\Windows\System32\services.exe";"Trojan horse Patched_c.LZI";"Object is white-listed (critical/system file that should not be removed)"



y que por otra parte le detectó en memoria el ROOTKIT SIREFEF:



memory_002a0000";"Found Luhe.Sirefef.A";"Object is inaccessible."



segun este informe:



AVG 2012





"";"C:\Windows\System32\services.exe (512):\memory_00a80000";"Found Luhe.Sirefef.A";"Infected"

"";"C:\Windows\SysWOW64\svchost.exe (2888):\memory_6ea40000";"Found Luhe.Sirefef.A";"Infected"

"";"C:\Program Files (x86)\Mozilla Firefox\firefox.exe (4844)";"Found Luhe.Sirefef.A";""

"";"C:\Program Files (x86)\Mozilla Firefox\firefox.exe (4844):\memory_002a0000";"Found Luhe.Sirefef.A";"Object is inaccessible."

"";"C:\Windows\Installer\{9c99cb66-7ea9-b5fb-0fe3-da3709dd0a8d}\ n";"Trojan horse BackDoor.Generic15.BHGZ";"Moved to Virus Vault"

"";"C:\Windows\System32\services.exe";"Trojan horse Patched_c.LZI";"Object is white-listed (critical/system file that should not be removed)"

"";"C:\Windows\System32\services.exe";"Trojan horse Patched_c.LZI";"Object is white-listed (critical/system file that should not be removed)"

"";"C:\Windows\System32\services.exe (512)";"Trojan horse Patched_c.LZI";"Deleted"

"";"C:\Windows\SysWOW64\svchost.exe (2888)";"Found Luhe.Sirefef.A";"Deleted"





cabe pensar que su caso pueda ser mas de lo mismo, por lo que, además de lo indicado, si bien el ELISTARA ya le alertaría de dicha infeccion con el SIREFEF, si fuera el caso, pruebe tambien el ELISIREF, y tras ello nos postea el contenido del informe resultante, sito en C:\infosat.txt



[b] DESCARGA DEL ELISIREF.EXE [/b]

http://www.zonavirus.com/descargas/descargar-elisiref.asp



Si es asi, se trata de un RootKit, del cual ya controlamos 5 subfamilias, y que ha dado buena guerra, y la está dando, si bien lo vamos controlando a medida que nos van reportando las muestras que se solicitan.



Tras ver los informes, y en su caso las muestras que se soliciten, seguiremos informando.



saludos



ms, 24-7-2012

[carlos_1984]

Hola de nuevo!!!



Tal y como me dijiste me he bajado el ELISIREF, le he dado a explorar y me sale que no hay ficheros infectados...lo que pasa esque no tengo ni idea de donde esta o como mirar el archivo infosat.txt para postearte los resultados...si me dices como encontrarlo te lo posteo...

[msc hotline sat]

Tanto el ELISTARA, como el ELISIREF y los demas ELI*.* generan un informe que añaden al final del fichero INFOSAT.TXT, que está en C:\



Abra con el bloc de notas dicho fichero C:\infosat.txt y con un copiar y pegar nos lo postea en su proximo post, gracias.



saludos



ms, 25-7-2012

[carlos_1984]

Hola de nuevo!!



Ya lo he encontrado. Esto es lo que me sale:



(25-7-2012 16:22:00 (GMT))

EliSirefef v2.05 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2012)

----------------------------------------

Sistema Operativo: WINDOWS (TM) VISTA HOME PREMIUM

Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(25-7-2012 16:22:22 (GMT))

EliSirefef v2.05 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2012)

----------------------------------------

Sistema Operativo: WINDOWS (TM) VISTA HOME PREMIUM

Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(25-7-2012 16:24:31 (GMT))

EliSirefef v2.05 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2012)

----------------------------------------

Sistema Operativo: WINDOWS (TM) VISTA HOME PREMIUM

Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(25-7-2012 16:25:56 (GMT))

EliSirefef v2.05 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2012)

----------------------------------------

Sistema Operativo: WINDOWS (TM) VISTA HOME PREMIUM

Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(25-7-2012 16:26:54 (GMT))

EliSirefef v2.05 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2012)

----------------------------------------

Sistema Operativo: WINDOWS (TM) VISTA HOME PREMIUM

Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(25-7-2012 16:41:10 (GMT))

EliSirefef v2.05 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2012)

----------------------------------------

Sistema Operativo: WINDOWS (TM) VISTA HOME PREMIUM

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 40809

Nº Total de Ficheros: 150028

Nº de Ficheros Analizados: 28095

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Un saludo!!

[msc hotline sat]

Pues no se detecta nada del SIREFEF, vea con el ELISTARA si detectamos algun otro malware (hay millones...) y nos postea de nuevo el contenido del infosat.txt, en el que habrá al final el informe generado por dicho ELISTARA.



saludos



ms, 26-7-2012

[carlos_1984]

Hola de nuevo!!



Acabo de ejecutar el Elistara, y me sale lo siguiente:



(26-7-2012 10:23:00 (GMT))

EliStartPage v25.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows (TM) Vista Home Premium

Usuario: Usuario

ID de Usuario: S-1-5-21-524030253-4152733280-3141560383-1000



Lista de Acciones (por Acción Directa):

Restaurado "Userinit"

[Userinit anterior] = "userinit.exe"

[Userinit actual] = "userinit.exe,"

C:\PROGRAM FILES (X86)\ASK.COM\GENERICASKTOOLBAR.DLL --> Eliminado ASKToolbar(bho/tb)

C:\PREFS.JS --> Eliminado (Fichero Complementario).

Eliminada Class, "{00000000-6E41-4FD3-8538-502F5495E5FC}" -> C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{D4027C7F-154A-4066-A1AD-4243D8127440}" -> C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll

Detectado HOSTS no Standar.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(26-7-2012 10:30:20 (GMT))

EliStartPage v25.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows (TM) Vista Home Premium

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-524030253-4152733280-3141560383-1001



Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(26-7-2012 10:46:26 (GMT))

EliStartPage v25.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows (TM) Vista Home Premium

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-524030253-4152733280-3141560383-1001



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 40808

Nº Total de Ficheros: 138224

Nº de Ficheros Analizados: 42473

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(26-7-2012 10:52:08 (GMT))

EliStartPage v25.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows (TM) Vista Home Premium

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-524030253-4152733280-3141560383-1001



Lista de Acciones (por Cierre):

Sistema Infectado por Troyano de AppInit

C:\PROGRA~3\BPROTE~1\20392~1.106\PROTEC~1.DLL

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

[msc hotline sat]

Pues se ha detectado que tienes un HOSTS no standar



Si lo has modificado voluntariamente y deseas mantenerlo como lo tienes, dejalo asi (tú sabrás) pero si no, cuando el ELISTARA te detecte HOST NO STANDAR y te ofrezca restaurarlo, acepta dichas restauracion, que lo normalizará quitando líneas que pueden haber insertado malwares (si no has sido tú)



y por otro lado, al final vemos:


[quote](26-7-2012 10:52:08 (GMT))

EliStartPage v25.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows (TM) Vista Home Premium

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-524030253-4152733280-3141560383-1001



Lista de Acciones (por Cierre):

Sistema Infectado por Troyano de AppInit

C:\PROGRA~3\BPROTE~1\20392~1.106\PROTEC~1.DLL

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)[/quote]

Pues descarga la utulidad ELINOTIF.DLL y la guardas en la misma carpeta del ELISTARA:



[b]ELINOTIF.DLL[/b]

http://www.zonavirus.com/descargas/elinotif.asp



Tras ello ejecuta el ELISTARA normalmente y reinicia, a ver si se soluciona, aunque ya se indica que "Puede Requerir Arrancar en Consola de Reparación para Eliminarlo".



Si persistiera el problema, arranca con el CD de instalación, pulsa R para entrar en consola de Recuperación, y elimina el fichero de marras:



C:\PROGRA~3\BPROTE~1\20392~1.106\PROTEC~1.DLL



Te recuerdo que para acceder a un directorio en modo DOS, se hace con CD (change directory) y a los nombres de directorios "largos" podrás entrar colocando sus nombres entre comillas.





Cuentanos tus progresos al respecto, gracias



saludos



ms, 26-7-2012

[carlos_1984]

Hola de nuevo!!



Tal y como me has dicho, cuando el elistara me ha hecho la pregunta de restaurar el host no estandar le he dado a restaurar. También me dice que si desearía conservar los archivos temporales de internet o algo asi...siempre le doy a que los siga manteniendo...está bien o debería decirle que los eliminara????



Por otro lado, me he descargado la utilidad esa que me has puesto y la he llevado a la misma carpeta que el elistara. He reiniciado el ordenador y me sigue diciendo que estoy infectado por el troyano ese, con lo cual deduzco que no ha servido de nada y sigo estando infectado no??? Ahora es cuando tendría que hacer lo que me pones ahí del CD de instalación verdad??? Mi pregunta es: cuando dices el cd de instalación a que cd te refieres???? Me podrías poner los pasos que tengo que dar desde que meto el cd para eliminarlo????perdona que sea tan inepto, es que ya te dije que estoy verdísimo en estas cuestiones!!je,je,je...



Un saludo!

[msc hotline sat]

El ELINOTIF es una DLL que usa el ELISTARA cuando la necesita, y en este caso le hacía falta, como ha indicado.



Luego, tras reiniciar habrá hecho su faena, si bien te dirá que ha eliminado el malware o, si no, habrás de eliminarlo manualmente arrancando con el CD de instalacion de windows.



Posteanos el actual infosat.txt, para ver el informe del último proceso, y por si acaso, ve buscando el CD de instalacion del windows de este equipo.



Y comentanos el resultado, y por si es necesario, ve buscando el CD de instalación, es cuestion de seguir los pasos que te hemos indicado, y cualquier amigo con experiencia en DOS, te podría ayudar, te lo digo por que estoy a punto de irme de vacaciones, y ello implica desconectado de internet, claro !


[quote="msc"]
Si persistiera el problema, arranca con el CD de instalación, pulsa R para entrar en consola de Recuperación, y elimina el fichero de marras:



C:\PROGRA~3\BPROTE~1\20392~1.106\PROTEC~1.DLL



Te recuerdo que para acceder a un directorio en modo DOS, se hace con CD (change directory) y a los nombres de directorios "largos" podrás entrar colocando sus nombres entre comillas.
[/quote]

Venga, que ya le tienes el pie al cuello a este troyano de Appinit...



saludos



ms, 26-7-2012

[carlos_1984]

Hola de nuevo!!!



Tal y como me has dicho, aquí te posteo el actual infosat.txt, ha salido lo mismo de antes:



(26-7-2012 19:30:47 (GMT))

EliStartPage v25.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows (TM) Vista Home Premium

Usuario: Usuario

ID de Usuario: S-1-5-21-524030253-4152733280-3141560383-1000



Lista de Acciones (por Acción Directa):

C:\PROGRA~3\BPROTE~1\20392~1.106\PROTEC~1.DLL --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(26-7-2012 19:30:48 (GMT))

EliStartPage v25.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows (TM) Vista Home Premium

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-524030253-4152733280-3141560383-1001



Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(26-7-2012 20:06:51 (GMT))

EliStartPage v25.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows (TM) Vista Home Premium

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-524030253-4152733280-3141560383-1001



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 40821

Nº Total de Ficheros: 137121

Nº de Ficheros Analizados: 42255

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(26-7-2012 20:07:52 (GMT))

EliStartPage v25.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows (TM) Vista Home Premium

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-524030253-4152733280-3141560383-1001



Lista de Acciones (por Cierre):

Sistema Infectado por Troyano de AppInit

C:\PROGRA~3\BPROTE~1\20392~1.106\PROTEC~1.DLL

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



(26-7-2012 20:59:29 (GMT))

EliStartPage v25.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows (TM) Vista Home Premium

Usuario: Usuario

ID de Usuario: S-1-5-21-524030253-4152733280-3141560383-1000



Lista de Acciones (por Acción Directa):

C:\PROGRA~3\BPROTE~1\20392~1.106\PROTEC~1.DLL --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(26-7-2012 20:59:30 (GMT))

EliStartPage v25.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows (TM) Vista Home Premium

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-524030253-4152733280-3141560383-1001



Lista de Acciones (por Acción Directa):

Acceso Denegado al Usuario.



(26-7-2012 20:59:51 (GMT))

EliStartPage v25.97 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows (TM) Vista Home Premium

Usuario: UpdatusUser

ID de Usuario: S-1-5-21-524030253-4152733280-3141560383-1001



Lista de Acciones (por Cierre):

Sistema Infectado por Troyano de AppInit

C:\PROGRA~3\BPROTE~1\20392~1.106\PROTEC~1.DLL

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



Por otro lado, ya he encontrado el cd, así que intentaré hacerlo según tus instrucciones, y sino me veo capacitado, ya buscaré algún colega que controle el DOS.



Ah!!y un par de cosillas...antes no mas dicho si hacia bien cuando me decia la historia de los archivos temporales...y esque me lo pregunta cada vez que inicio el ordenador...Y lo otro que te quería comentar es precisamente esto último, que si ahora cada vez que encienda el ordenador me va a salir el Elistara y tengo que hacer escaneados...



Un saludo!!!

[msc hotline sat]

Cuando el ELISTARA pide reiniciar, prepara su ejecucion en el proximo reinicio, y si persiste en los siguientes reinicios, es que no puede eliminar lo que pretende, lo cual en este caso ya se avisa:



[i][b]"Puede Requerir Arrancar en Consola de Reparación para Eliminarlo"[/b][/i]



Como que para ello se crea una clave RUNONCE, una vez eliminado el fichero manualmente, lance el BUSCAREG.EXE y busque RUNONCE y elimine la clave que encuentre, asi ya no lanzará el ELISTARA en los siguientes reinicios:


[quote]
BUSCAREG





[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite

borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la

exportacion de las claves eliminadas por si se necesitan restaurar las claves

borradas.





[url=http://www.zonavirus.com/descargas/descargar-buscareg.asp][b]Descargar

BuscaReg[/b][/url]
[/quote]



saludos



ms, 27-7-2012





NOTA: Y respecto a los temporales, windows los crea para la sesión en curso, y se pueden borrar a partir del siguiente reinicio, lo que pasa es que puede tardar bastante tiempo, y muchas veces no se hace para acortar tiempo de escaneo. Puedes darle a eliminar sin reparos, y de hecho es mejor, asi liberarás espacio y basura. ms.