Necesito ayuda por favor (SOLUCIONADO)

[Fersh0]

Hola saludos a todos. quisiera pedirles ayuda con el problema que tengo, la verdad no soy muy inteligente, pero tratare de explicarles que es lo que pasa para ver si me pueden ayudar. Ademas vi que un participante tenia mas o menos el mismo problema.

Andando por la pagina de astalavista buscando un parche para un juego, se descargo algun programa sin mi concentimiento, y desde ese momento he tenido problemas con mi ordenador.

Los problemas visuales son unos signos de error en la barra de tareas que al darles click aparece un mensaje diciendo: "your computer is infected!"

Windows has detected spyware infection!

click here to protect your computer from spyware!



Yo tengo panda internet platinum security 2004 y me esta apareciendo que hay una conexion a un numero telefonico 002545..... proveniente de el archivo " c:windows/svchost " el que, cuando intento eliminar manualmente me dice que esta protegido contra escritura o en uso.



Aparte la ventanita que aparece cuando se presiona ctrl+alt+supr, ya no aparece, me dice que esta funcion a sido desactivada por un administrador.



La verdad yo no se mucho de estos problemas y baje el ad-aware se personal y el plvx 2 cleaner, el primero, lo puse a trabajar y no se utilizarlo muy bien, puse en cuarentena todos los objetos maliciosos y elimine manualmente un kernels de la carpeta de windows.



Realmente no se ni como empezar espero que me puedan ayudar, pidanme lo que necesiten para poder ayudarme, de favor les pido que no utilizen terminos muy complicados ya que no soy muy bueno en esto.



De antemano muchas gracias por su comprension y tolerancia.

Los saluda su amigo fer.

[maura63]

Descarga esta utilidad



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Cuentanos el resultado.



Saludos

maura63 -11 dias

[msc hotline sat]

Y para el SVCHOST.EXE situado en C:\WINDOWS, que no es el legal de windows, que está en la carpeta de sistema (C:\WINDOWS\SYSTEM32), mira si lo detectas y elimimas con el ELITRIIP.EXE , pies se trata de un gusano que intenta despistar usando el mismo nombre que el fichero de sistema, pero desde otro directorio:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp







Y tras ello, nos cuentas el rsultado como respuesta de este Tema, gracias



saludos



ms, 21-07-2005

[Fersh0]

Hola amigos He descargado ambas utilididades con elitrip he logrado remover el "c:windows/svchost"



cuando corro los programas que me dieron me pide esto.



por favior envienos una muestra del fichero c:documen-1/propie-1/config-1/temp/unwise.exe elistartpage v10.10 a virus@satinfo.es



por favior envienos una muestra del fichero c:documen-1/propie-1/config-1/temp/svchost.exe elistartpage v10.10 a virus@satinfo.es



no se como enviarles la muestra, ademas el archivo es de esos que te pide que con que programa lo quiero abrir. Expliquenme como mandarles la muestra please.



Otra cosa...

al correr elistara abajo marca estos dos archivos

NHelper.dll -> NavHelper (BHO)

ltfil13n.dll -> WinAd



Los elimino ya el elistara por si solos? o tengo que buscarlos manualmente? o que hago precisamente con ellos ?



Despues de reiniciar sigue apareciendo el botoncito rojo con la x que me marca que mi pc esta infectada. en otro panel lei algo sobre reiniciar a modo seguro y algo de restaurador de sistema o algo asi.



Por su comprension y tolerancia mil gracias

Paso siguiente pa' matar virus????

[msc hotline sat]

Las muestras que pedimos son porque corresponden a variantes de virus conocidos, cazadas heuristicamente, pero que no sabemos todas sus caracteristicas y es necesario analizarlos para saber las claves que ha creado y lo que ha hecho para deshacerlo.



La manera de enviarnos estos ficheros es anexarlos a un mail que nos envie a tal efecto, para lo cual simplemente debe copiar el fichero y anexarlo al mail, NO ABRIR el fichero, ya que esto ejecutaría el virus !!!



Y las claves y ficheros que corresponden a los gusanos conocidfos detectados, ya son restauradas y los ficheros borrados al lanzar nuestras utilidades. Otra cosa son los que pedimos muestra, que si los movemos a una carpeta temporal ya estan fuera de circulacion en el proximo reinicio, pero no hay restauracion de claves al no saberlas a priori



Esperamos nos envie los ficheros indicados, para poder implementar su eliminacion en proximas versiones de las utilidades correspondientes, lo cual le indicaremos como respuesta de este Tema en cuanto estén disponibles, si en el texto del mail nos pone como referencia "REF UNWISE SVCHOST"



saludos



ms, 22-07-2005

[Fersh0]

Gracias amigo por tolerarme tanto la verdad es que no soy muy apto en esto, pero como dicen las leyendas. mejor 5 minutos de ignorante ( aunque como que ya llevo 2 dias preguntandoles jajaa ) que toda la vida.



he mandado los ficheros a zonavirus@satinfo.es espero pronto poder tener la respuesta, porque el icono sigue apareciendo en la barra de tareas.



Ustedes digan que paso hay que dar!



Gracias por todo!

[msc hotline sat]

Ahora aquí son las 6 y media de la mañana, y pronto iniciaremos la jornada laboral, aunque Vds se vayan a dormir, que ya es hora...



Espero que para cuando despierten ya tengamos hecha y subida a esta web la 10.11 del ELISTARA que contemple estas muestras



saludos



ms, 22-07-2005

[msc hotline sat]

Adelantarte que el SVCHOST.EXE enviado es un DOWNLOADER que pasaremos a controlar con la 10.11 del ELISTARA.EXE y que el unwise.exe desconocemos lo que indica el INFOSAT.TXT al respecto, pero no vemos causa virica. Pudo ser un falso positivo por otras razones. Mire de jacer un copiar y pegar del fichero INFOSAT.TXT que tiene en el directorio raiz C:\ y nos lo pega en un proximo post, para que podamos eliminar esta falsa deteccion del UNWISE.EXE



saludos



ms, 22-07-2005

[msc hotline sat]

Un examen con VirusTotal, que se puede realizar de cualquier fichero sospechosos desde esta web, al final de la página a la que lleva este enlace, examina el fichero sospechoso en menos de un minuto, con las ultimas versiones de unos 20 antivirus, ofreciendo el resultado del, examen.



http://www.zonavirus.com/antivirus-on-line/



Para el caso del Tema que nos ocupa, el examen del SVCHOST.EXE sospechoso, nos ofrece las siguientes detecciones:


[quote="VirusTotal"]
Este es el resultado de analizar el archivo "Svchost.gxe" que VirusTotal ha procesado el dia 22/07/2005 a las 10:35:05 (CET).



[b]Antivirus Version Actualización Resultado [/b]



AntiVir 6.31.1.0 22.07.2005 TR/Dldr.Agent.QX.2

AVG 718 19.07.2005 Downloader.Generic.AXA

Avira 6.31.1.0 22.07.2005 TR/Dldr.Agent.QX.2

BitDefender 7.0 22.07.2005 Trojan.Downloader.Proct

CAT-QuickHeal 7.03 21.07.2005 no ha encontrado virus

ClamAV devel-20050712 21.07.2005 no ha encontrado virus

DrWeb 4.32b 22.07.2005 Trojan.DownLoader.3410

eTrust-Iris 7.1.194.0 22.07.2005 no ha encontrado virus

eTrust-Vet 11.9.1.0 22.07.2005 no ha encontrado virus

Fortinet 2.36.0.0 22.07.2005 W32/ProCounter-dldr

F-Prot 3.16c 21.07.2005 no ha encontrado virus

Ikarus 2.32 21.07.2005 no ha encontrado virus

Kaspersky 4.0.2.24 22.07.2005 Trojan-Downloader.Win32.Small.bcd

McAfee 4540 21.07.2005 Generic Downloader.h

NOD32v2 1.1175 21.07.2005 no ha encontrado virus

Norman 5.70.10 21.07.2005 W32/DLoader.GMT

Panda 8.02.00 21.07.2005 Trj/Downloader.DJV

Sybari 7.5.1314 22.07.2005 Trojan-Downloader.Win32.Small.bcd

Symantec 8.0 21.07.2005 Download.Trojan

TheHacker 5.8.2.074 21.07.2005 Trojan/Downloader.Small.bcd

VBA32 3.10.4 21.07.2005 Trojan-Downloader.Win32.Small.bcd
[/quote]

Lo cual quiere decir que si Vd no lo detectaba con su antivirus es que no lo debe tener actualizado. Reviselo, que es muy importante, como puede ver !!!



Tambien es verdad que alguno como F_Prot y NOD-32 no lo detectan todavía, pero son una minoria-



saludos



ms, 22-07-2005

[msc hotline sat]

Ya hemos subido a esta web la nueva version del ELISTARA 10.11, en la que hemos corregido la deteccion del unwise.exe por ser falso positivo, y controlamos este SVCHOST que es un DOWNLOADER como ya hemos indicado anteriormente.



---v10.11-(22 de Julio del 2005) (Muestras de 2 DownLoader.F, DownLoader.H "SVCHOST.EXE", SubSearch "IESERVICE.DLL" y Anulada detección del "UNWISE.EXE")





Además, en la proxima version del ELITRIIP tambien lo añadiremos, ya que todos los SVCHOST víricos los controlamos con ella, a pesar de que esta vez ha sido el ELISTARA quien ha pedido muestra del sospechoso, debido a ser un Downloader, no un Gaobot o similar como en la mayoría de los casos con gusanos que utilizan dicho nombre.



Tras probar el ELISTARA, cuentenos el resultado como respueste de este Tema, gracias



saludos



ms, 22-07-2005

[Fersh0]

Thu Jul 21 17:06:47 2005

EliTriIP v1.54 (c)2005 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PROPIE~1\CONFIG~1\TEMP\SVCHOST.EXE.Muestra EliTriIP v1.54

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SVCHOST.EXE --> Renombrado a .VIR

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Thu Jul 21 17:07:06 2005

EliStartPage v10.10 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PROPIE~1\CONFIG~1\TEMP\SVCHOST.EXE.Muestra EliStartPage v10.10

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SVCHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PROPIE~1\CONFIG~1\TEMP\UNWISE.EXE.Muestra EliStartPage v10.10

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\EZULA\UNWISE.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\ISTSVC\ISTSVC.EXE --> ISTBar.B Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "IST Service"="C:\Archivos de programa\ISTsvc\istsvc.exe"

Eliminada Carpeta "%Archivos de Programa%\ISTbar"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 21 17:12:29 2005

EliStartPage v10.10 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Ares Galaxy Classic\Uninstall.exe --> AutoExtraible

C:\Documents and Settings\Propietario\Configuración local\Temp\temp.frAD63\NavHelper\v2.0.4c\NHelper.dll --> Eliminado, NavHelper (BHO)

C:\Documents and Settings\Propietario\Mis documentos\programas windows\AresGalaxyClassic.exe --> AutoExtraible

C:\Documents and Settings\Propietario\Mis documentos\programas windows\BitTorrent-4.0.1.exe --> AutoExtraible

C:\Documents and Settings\Propietario\Mis documentos\programas windows\shoutcast-1-9-5-windows.exe --> AutoExtraible

C:\WINDOWS\system32\ltfil13n.dll --> Eliminado, WinAd



Thu Jul 21 17:21:23 2005

EliStartPage v10.10 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminada Carpeta "%Archivos de Programa%\eZula"

Eliminada Carpeta "%Archivos de Programa%\ISTsvc"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 21 17:21:37 2005

EliStartPage v10.10 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Ares Galaxy Classic\Uninstall.exe --> AutoExtraible

C:\Documents and Settings\Propietario\Mis documentos\programas windows\AresGalaxyClassic.exe --> AutoExtraible

C:\Documents and Settings\Propietario\Mis documentos\programas windows\BitTorrent-4.0.1.exe --> AutoExtraible

C:\Documents and Settings\Propietario\Mis documentos\programas windows\shoutcast-1-9-5-windows.exe --> AutoExtraible



Fri Jul 22 16:52:51 2005

EliTriIP v1.54 (c)2005 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Fri Jul 22 16:54:50 2005

EliStartPage v10.11 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jul 22 16:55:09 2005

EliStartPage v10.11 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Ares Galaxy Classic\Uninstall.exe --> AutoExtraible

C:\Documents and Settings\Propietario\Mis documentos\programas windows\AresGalaxyClassic.exe --> AutoExtraible

C:\Documents and Settings\Propietario\Mis documentos\programas windows\BitTorrent-4.0.1.exe --> AutoExtraible

C:\Documents and Settings\Propietario\Mis documentos\programas windows\shoutcast-1-9-5-windows.exe --> AutoExtraible



Sat Jul 23 07:29:04 2005

EliStartPage v10.11 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jul 23 07:29:16 2005

EliStartPage v10.11 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Ares Galaxy Classic\Uninstall.exe --> AutoExtraible

C:\Documents and Settings\Propietario\Mis documentos\programas windows\AresGalaxyClassic.exe --> AutoExtraible

C:\Documents and Settings\Propietario\Mis documentos\programas windows\BitTorrent-4.0.1.exe --> AutoExtraible

C:\Documents and Settings\Propietario\Mis documentos\programas windows\shoutcast-1-9-5-windows.exe --> AutoExtraible

[msc hotline sat]

Pues con todo lo realizado ya no tiene ni el gusano ni las claves que este hubiera podido crear, si bien se aprecia en el resultado del ELITRIIP, que le faltan instalar parches de microsoft.



Abra el navegador, Internet Explorer, vaya a Herramientas y seleccione Windowsupdate y actualice



Y ya solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 24-07-2005