Problema sin explicación

Danielo · Mensaje por **Danielo** » 19 Abr 2005, 22:49

Les cuento:descargué un EXE y lo escaneé antes de abrirlo con 2 antivirus online los cuales me lo dieron como fiable,en cuanto hice doble click sobre el todo falló,empezó a sonar la disketera,no podia abrir ningun programa a excepcion del Internet explorer,desaparecieron el panel de control y tambien el antivirus y el cortafuegos,desde los iconos del escritorio y del menú inicio no se abria ningun programa,me salia un mensaje de Windows de Windows no puede encontrar el archivo tal Asegurese que la ruta y acceso son correctos y si lo hacia desde la capeta del programa tambien salia lo mismo,si intentaba abrir el administrador de tareas me decia:El Administrador de tareas ha sido deshabilitado por un administrador,bueno,desastre total,al final pude entrar en modo aprueba de fallos y restaurar sistema y como si no hubiera pasado nada,todo funciona bien pero el exe en cuestión lo tengo guardadito y por mas antivirus que le paso me lo dan como bueno,he escaneado todo el Pc y esta limpio,he visto por la red gente en otros foros que le pasaba parte de este problema y no se les dió solución ni explicación,por cierto,es la segunda vez que me ocurre esto¿alguien tiene idea de que puede ser?.Gracias

Mensaje por **maura63** » 20 Abr 2005, 09:18

Mueve ese archivo [color=red].exe [/color]a un diskette y envialo a zonavirus@satinfo.es donde lo analizaran y veran de que se trata. Haz un copiar y pegar de este post como texto del mensaje.

Te contestaran como respuesta a este mismo tema.

Saludos

maura63

Mensaje por **msc hotline sat** » 20 Abr 2005, 09:30

Tal como muy bien le indica Maura63, cuando recibamos este fichero lo analizaremos y contestaremos con el resultado como respuesta de este Tema.

Mientras, cabe indicarle que son varios los virus que presentan similares efectos, y que toqueteos o encriptaciones de los mismos los convierten en variantes no controladas, que gracias a las muestras pasamos a controlar.

Le felicitamos por haber tenido la feliz idea de restaurar sistema a un punto anterior y así poder seguir trabajando. Tal como indica, mantenga el fichero de marras en cuarentena hasta que le digamos de qué se trata, y entonces ovre en consecuencia.

saludos

ms, 20-04-2005

Danielo · Mensaje por **Danielo** » 21 Abr 2005, 00:59

Enviado,gracias por vuestro interes

Mensaje por **msc hotline sat** » 21 Abr 2005, 12:09

Recibido fichero anydvd5.1.0.1crack...y una vez probado, tristemente aparecen los errores indicados por el autor del Tema:

Se ha enviado a McAfee y lo pasarán a controlar como troyano Generic DEL, con cuyo nombre ya se supone que nada bueno.

La pena es que siempre ha de haber una victima antes no se controla un bicho, igual que ha de gaber un fallecido antes de poder detener a un asesino...

Evidentemente elimine este fichero, que de crack no tiene nada, y de malicia mucha.

Si no ha tenido otros efectos y ha podido rectaurar sistema, perfecto, elimine el fichero y punto, pero si hubiera borrado ficheros como al parecer tiene previsto, arranque con el CD de instalacion y tras acpeptar contrato de microsoft, cuando detecta la particion ya instalada, indiquele REPARAR, no reinstalar, para tratar de salvar las aplicaciones instaladas, so no las ha eliminado la bestia en cuestion.

Con los nuevos DATS de McAfee ya se detectará, y en breve los demás antivirus, pues somo miembros del WILDLIST y les enviamos tidas las muestras recibidas, para conocimiento de todos los antivirus profesionales, además de McAfee, al cual se lo enviamos directamente por ser mayoristas en España, aparte de haber sido sus primeros Agentes e introducir el antivirus en nuestro pais desde el primer día, cuando nadie conocía a McAfee (aunque nosotros ya llevabamos 5 años en el sector, y ya habíamos desarrollado nuestras propias utilidades antivirus, antes que existiera ningun antivirus comercial en el mundo)

En el caso de que aplicaciones o datos se vieran afectados, puede tratar de recuperarlos con herramientas de desborrado como las que tienen en http://www.ntfs.com

No hacemos herramienta de eliminacion, ya que es simplemente borrar el fichero troyano, y arrancar en modo seguro y restaurar sistema si se ha ejecutado, o ya proceder segun indicado si se hubiera activado su payload.

Si se quiere detectar el bicho, se podrá utilizar McAfee con el SDATDAILY que voy a ver si ya lo controla...

SI QUE SE CONTROLA YA:

[quote="VirusScan"]

McAfee VirusScan for Win32 v4.40.0

Copyright (c) 1992-2003 Networks Associates Technology Inc. All rights reserved.

(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.

Virus data file v4100 created Apr 21 2005

Scanning for 124250 viruses, trojans and variants.

04/21/2005 12:15:46

Options:

A: /ALL /PROGRAM /REPORT INFORME.TXT

Scanning A: []

Scanning A:\*.*

A:\AnyDVD 5.1.0.1 Crack for all Versions.exe ... Found the Generic Del trojan !!!

Summary report on A:\*.*

File(s)

Total files: ........... 1

Clean: ................. 0

Possibly Infected: ..... 1

Master Boot Record(s): ......... 3

Possibly Infected: ..... 0

Boot Sector(s): ................ 1

Possibly Infected: ..... 0

Time: 00:00.09

[/quote]

Explicacion del porque le ha pasado dos veces: Al tratarse de un troyano o caballo de troya se trata de un programa que puede camuflarse en cualquier aplicacion, escondida en ella o simplemente el mismo troyano cambiado de nombre, y segun en qué webs acostumbre a navegar, tiene mas o menos probabilidades de pillarse los dedos, especialmentge si prueba utilidades desconocidas, aunque les pase testeadores, como muy bien ha hecho...

SE RECOMIENDA NO BAJAR DE INTERNET ESTE FICHERO, Y SI LO TENEIS ELIMINADLO, QUE ES MUY PELIGROSO !!!: AnyDVD 5.1.0.1 Crack for all Versions.exe

saludos

ms, 21-04-2005

Danielo · Mensaje por **Danielo** » 21 Abr 2005, 21:22

Kaspersky le pone otro nombre: Scanned file: AnyDVD 5.1.0.1 Crack for all Versions.exe

AnyDVD 5.1.0.1 Crack for all Versions.exe - infected by P2P-Worm.Win32.VB.cz

Y con Panda:Virus:W32/Spybot.SC.worm Entonces¿puedo decir que se ha descubierto este gusano gracias a mi?la verdad es que despues del susto que me llevé me alegra saber que esto haya servido para que no le ocurra a nadie mas. Voy a escanear el resto del PC con antivirus actualizado a ver que resultado me da

Danielo · Mensaje por **Danielo** » 24 Abr 2005, 20:10

Por cierto,excepto en una carpeta,se me han borrado todos los Mp3,¿sera un virus de la SGAE?

Mensaje por **msc hotline sat** » 25 Abr 2005, 13:20

Efectivamente, ha sido Vd de los primeros en sufrir este virus, como ya le indicamos, y como Vd, todos los afectados de cada pais han reportado muestras a sus contactos de soporte, a través de las cuales cada antivirus pasa a controlar los 50 nuevos virus qye de promedio diario van apareciendo, que hasta la fecha acymulan unos 125.000 en total...

El que se le hayan borrado los MP3 es probable que haya sido debido a este bicho, de ahí el nombre que le da McAfee GENERIC DEL malware, que puede ser a través de su payload o activacion.

Sobre los nombres, el que le ha dado Kaspersky es mas ambiguo que el de McAfee, y el de Panda es "desafortunado".

Puede intentar recuperar los ficheros borrados con las utilidades de desborrado que le indicaba en mi anterior post, existentes en la web de http://www.ntfs.com

saludos

ms, 25-04-2005

Mensaje por **maura63** » 25 Abr 2005, 13:24

Informacion detallada en castellano

http://www.vsantivirus.com/vb-cz.htm

Saludos

maura63

Mensaje por **msc hotline sat** » 25 Abr 2005, 13:48

Gracias Maura63, el viernes no estaba esta descripcion y nos confirma que la sospecha de que había sido este bicho el que había norrado los MP3.

Esperemos que los pueda recuperar.

Y cuidado, que llega por P2P, propio que lo bajen los usuarios de Emule, Kazaa, Imesh, eDonkey, etc.

saludos

ms, 25-04-2005

Mensaje por **msc hotline sat** » 25 Abr 2005, 14:01

Tambien TREND le denomina TROJ_DEL.C, y en su descripcion visualiza la imagen que presenta:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_DEL.C

saludos

ms, 25-04-2005

Mensaje por **msc hotline sat** » 25 Abr 2005, 15:11

Al parecer, de este bicho hay mas de una variante, A y B, y con el nombre de NOPIR.B, Sophos nos ofrece otra descripcion que displata una ventana diferente, con los colores de la bandera de Francia a la derecha, razon por la que se sospecha que puede ser original de allí, y mas cuando la primera descripcion parece ser que fue de Sophos:

http://www.pcinpact.com/actu/news/Le_ver_Nopir_fait_trinquer_les_mp3.htm