Tengo un virus Worm-Backdoor.W32/Protoride.S (SOLUCIONADO)

[Ferka]

Tengo este virus, no encuentro antivirus para eliminarlo, me cambia la fuente de internet... Por favor ayudenme...



Desde ya muchas gracias

[Nuker]

Pues debe ser nueva variante, pero pruebate esta herramienta en modo seguro y posteanos el log como tu ya sabes. :D



ELIPROTA:





http://www.zonavirus.com/datos/descargas/104/ELIPROTAEXE.asp



Saludos.

[Ferka]

Bueno te queria decir q en este momento estoy pasando el antivirus simantec. Cuando se termine si no se soluciona hago lo q me dijistes



Muchas gracias





Fer

[Ferka]

Hice lo que me dijiste pero no funciono... Tambien pase el simantec, me dió un resultado pero no elimino el virus y lo eliminé yo manualmente... No se que más hacer, no encuentro ningun antivirus que lo elimine, voy a tratar de bajar el norton para ver si funciona... Si alguien sabe algo de este gusano o conoce alguna forma de eliminarlo por favor ayudeme... Muchas Gracias

[Nuker]

Ferka, para que crees que se te piden muestras ?, En vez de eliminarlo manualmente envialo para su neutralizacion, acuerdate que dije :



Pues debe ser nueva variante...



Por lo mismo si no la detecta y quieres una cura procede a enviar dicho fichero, te pongo esto por que si es nueva la variante no vas a encontrar antidoto con nigun antivirus.





COMO ENVIAR ?:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



[b]Y corrijo.. Parece ser que la variente es controlada por SOPHOS, pero los moderadores te agradecerian una muestra antes de la eliminacion..[/b]



SOPHOS:



http://esp.sophos.com/products/es/eval.html

[msc hotline sat]

No sé de donde has sacado, Nuker, el que Sophos conozca nada nuevo al respecto ???



La ultima variante del protoride que indican conocer es la Z y data del año 2004...:



http://esp.sophos.com/security/analyses/w32protoridez.html



Pero si sabes algo mas, cuentanoslo...



Cabe indicar que este virus utiliza la proteccion de restringir el acceso a la ejecucion de EXES, COM, BAT, SCR,... etc cuando se borra el fichero gusano sin restaurar la clave de registro modificada, y es típico en los virus que tienen esto que los usuarios se queden sin poder ejecutarlos por ello.



En las utilidades correspondientes a los virus que hacen esto, ya restauramos dicha clave ademas de eliminar el virus, pero claro, si no podemos utilizar ni nuestra utilidad...



Para ello algunas utilidades las hacemos en Visual Basic, con extension VBS, pues gracias a no estar interceptada, podemos ejecutarla y asi proceder a la restairacion de la clave en cuestion.



Para ello tenemos del ELIRESTR.VBS como ya se indica en la descripcion de la utilidad ELIPROTA:


[quote]
ELIPROTA.EXE 1.2

Enviado por msc hotline sat

05/04/2005 18:36:11Actualizado por msc hotline sat el

01/02/2007 07:24:01



UTILIDAD PARA ELIMINACION DEL VIRUS PROTORIDE CUANDO SE DETECTA EN EL ORDENADOR. DETIENE VIRUS EN PROCESO, ELIMINA GUSANO Y RESTAURA CLAVES.SI SE HA ELIMINADO EL GUSANO SIN RESTAURAR CLAVES, QUEDA INTERCEPTADA LA EJECUCION DE EXES Y EDICION DE REGISTRO, LO CUAL PUEDE RESTAURARSE CON ELIRESTR.VBS [/quote]



ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp





Tras probarla, comentarnos el resultado, gracias



saludos



ms, 1.02.2007

[Ferka]

Tengo un problema cuando quiero descargar el Elirestr 1.7 me dice q no se puedo descargar por q posiblemente este el disco lleno o esta siendo utilizado por otro usuario comprobe las 2 cosas y no lo puedo bajar

que me recomiendan hacer



Desde ya agradesco su respuesta







Fer

[msc hotline sat]

Desactiva tu antivirus para descargarla, que igual lo impide por un falso positivo, dadas sus caracteristicas



No ha de haber ningun problema, de todas formas voy a probar y si no digo nada mas es que me ha bajado bien



saludos



ms, 1-02-2007

[Ferka]

Al final lo puede bajar con el antivirus puesto solo reinicie la compu pero ni bien lo baje, el Avg me detecto q en ese archivo habia un virus, pero lo elimino ¿puede ser q el Avg me lo detecte como un archivo malicno?

lo tuve q bajar de vuelta y ahora me vuelve a decir lo mismo ¿desactivo el Avg igual ? o tiene un virus el archivo ?



Desde ya gracias



Fer

[msc hotline sat]

Ya te he dicho que es un falso positivo de algunos antivirus, por las caracteristicas de dicha utilidad.





DESACTIVA TU ANTIVIRUS PARA BAJARLA Y PROBARLA !!!





Si tuviera un virus no funcionaría, pues nuestras utilidades estan protegidas con checksum para evitar operar infectadas.



saludos



ms, 1-02-2007

[Nuker]

Y segun yo aqui dice que el protoride-c es controlada por el SOPHOS.



http://www.sophos.com/security/analyses/w32protoridec.html



Si eso es lo que querias que explicara....

[Ferka]

Queria preguntar si el nod 32 es mejor q el Avg, solo eso, ah y no se si el problema q me cambia la fuente es ese virus

les paso mis ficheros de algun antivirus?



Gracias desde ya

[MrKogoyo]

Enrealidad segun las opiniones en general que he leido y la mia es mejor el Nod32 Que el AVG, pero para mi es mejor el Kaspersky que el Nod32



[b]Slds. ¡¡

MrKogoyo[/b]

[Ferka]

Bueno les doy todos mis ficheros asi me dicen si hay algo raro



Gracias



HGT:



Logfile of HijackThis v1.99.1

Scan saved at 22:52:43, on 01/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\ARCHIV~1\A4Tech\Keyboard\Ikeymain.exe

C:\ARCHIV~1\GENIUS~1\GNETMOUS.EXE

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\a\Escritorio\Fer\Antivirus\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ar.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vinculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [iKeyWorks] C:\ARCHIV~1\A4Tech\Keyboard\Ikeymain.exe

O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\GENIUS~1\GNETMOUS.EXE

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168884725390

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1170133338953

O17 - HKLM\System\CCS\Services\Tcpip\..\{E4C88FD0-8B6C-4BB8-A573-EDC99F12E458}: NameServer = 200.45.191.35 200.45.191.40

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



hay q eliminar algo de ahi ?

[msc hotline sat]

Para Nuker: Eso mismo, descripcion del año 2004 !, fué nuevo enm su día, pero ha llovido mucho...


[quote]
Aliases Backdoor-AZJ

Win32/Protoride.C

W32.Protoride.Worm

WORM_PROTORIDE.A



Protection available since 11 February 2004 17:26:27 (GMT)
[/quote]

Con el ELIPROTA o si ya no se pueden ejecutar EXES, primero con el ELIRESTR.VBS, solucionamos en du día cientos de casos, pero ahora casi está extinguido



saludos



ms, 2-02-2007

[msc hotline sat]

Y sobre el log del HJT, aparecen simultaneos el AVG y el NOD...



Desinstala uno de los dos, no deben haber dos antivirus residentes en un mismo ordenador



y si ya has resuelto el problema del protoride dinoslo para considerar solucionado el Tema, gracias



saludos



ms, 2-02-2007

[Ferka]

Pido ayuda y nadie me da bola discuten quien lo maneja quiero solucionar mi problema y nesesito ayuda profecional o de alguien q sepa por q no puedo tengo este virus como hace una semana y me re j**e veo todo en letra rusa, porfa ayudenme hice lo q me dijistes hotline pero no aparece ningun fichero ni nada lo unico q dice el elirest me restaura los .exefile, .regfile, etc. Pero para q me sirve eso?





Si pueden ayudarme lo agradecere.





Fer

[msc hotline sat]

Para poder ejecutar el ELIPROTA.EXE, ya que si borraste el fichero gusano sin restaurar las claves, no se podía ejecutar ningun EXE...



ELIPROTA:



http://www.zonavirus.com/datos/descargas/104/ELIPROTAEXE.asp



Pruebalo ahora y nos cuentas el resultado, gracias



saludos



ms, 2-02-2007

[Ferka]

Perdona no habia leido el mensaje tuyo hotline ya desinstale el Avg y deje el nod32 solo pero no todavia no lo solucione :( , lo q me di cuenta es que con el firefox no se cambian las letras solo pasa con el explorer pero segun las noticias es malo y tiene fallas asique prefiero el explorer y solucionar el problema, ademas tambien pasa con los archivos q c me cambia el nombre el firefox cambia solo el internet pero no los archivos de la pc



Gracias





Fer

[Ferka]

Pase el eliprota y me dice no detectado gusano protoride

[msc hotline sat]

Pues no parece que lo tengas ya...



Si detectaras algun fichero con alguna otra utilidad, envianoslo y lo analizaremos, para ver si se trata de un falso positivo o de una variante no controlada.



Y si no, dinoslo igual, para considerar solucionado el Tema, gracias



saludos



ms, 2-02-2007

[Ferka]

Te explico todo desde el principio: la cosa fue asi yo empese teniendo un problema de que cuando leia archivos de la pc, paginas de internet, menos en el msn y aca en todos lados leo todo en ruso

Bueno despues de 3 dias maso menos puse Propiedades de internet para ver si habia algo, y de repente vi que decia fuentes, lo q hice yo fue ir a fuentes y vi q la letra con la q estaba actuando era Cirilico que segun mi hermano es alfabeto ruso, entonces yo lo que hice fue volver mi letra predeterminada la Times new roman la clickeo cierro y lo habro de vuelta y me doy cuenta q no se cambia...la cambio y c vuelve a cambiar todo el dia asi... Entonces mi hermano fue al yahoo y busco virus cirilico es un virus q te cambia todo el dia la letra a ruso, segun el yahoo, y mi hermano vino aca entro con mi cuenta y puso que tenia ese virus despues me conto lo q hizo, entonces yo segui con el tema del virus y llegue hasta aca osea talves q no es ese virus protoride-c pero lo mas probable creo q es. No sabes como darme cuenta q tengo en la compu por q no resisto mas viendo todo en ruso, sino agarro el diccionario y aprendo ruso :P pero prefiero solucionarlo



Bueno si llegas a saber algo respondeme



Desde ya te agradesco la preocupacion ;)





Muchas gracias





Fer

[Ferka]

Te paso algun fichero para fijarte si hay alguna clave rara ?

[msc hotline sat]

Y que tiene que ver eso con lo que dice el título ???


[quote]Tengo un virus llamado Worm-Backdoor.W32/Protoride.S[/quote]

Solucionado el problema de PROTORIDE procedemos a cerrar el Tema



Se descarta que a la vista del log del HJT tenga ningun virus !!! (Solo desinstale uno de los dos antivirus...)



Si tiene alguna otra anomalia, postee nuevo Tema, pero si no es de virus, hagalo en el apartado adecuado !



saludos



ms, 2-02-2007