Se borran antivirus y firewall y no conecta (SOLUCIONADO)

Arioch · Mensaje por **Arioch** » 15 May 2007, 14:40

Saludos, foreros del Foro virus y antivirus.

Estoy teniendo un problema con el ordenador familiar (el que utiliza la mitad de la familia) y es que ayer tras volver a casa me encontré con que el antivirus (Avast!) y el firewall (ZoneAlarm) tenían archivos borrados y no permitían su reinstalación. Tampoco era posible desde ese ordenador conectarse a internet por ninguno de los dos navegadores que instalados (Internet Explorer y Mozilla Firefox).

Tras probar con los problemas más comunes y mirar registros y programas en ejecución y que se ejecutan al inicio no encuentro nada anormal; pero sigue impidiéndome instalar el antivirus ni conectarme a internet por cualquier medio.

Empiezo a quedarme sin ideas y tampoco sé muy bien qué información más debería postear para orientar sobre una posible solución.

Agradecería una pequeña ayuda que pudiera ayudarme a esclarecer cuál es el problema.

Muchas gracias por adelantado.

Mensaje por **msc hotline sat** » 15 May 2007, 14:48

Prueba de arrancar en modo seguro con funciones de red y si asi puedes navegar (ya se que en modo normal no), lanza este AV ONLINE y nos comentas el resultado, gracias:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

saludos

ms.

Arioch · Mensaje por **Arioch** » 15 May 2007, 20:19

Hola de nuevo.

No conseguí entrar en el modo seguro con funciones de red. El ordenador se reiniciaba tras seleccionar la opción y volvía a la pantalla para seleccionar el modo de inicio. Tras repetirlo varias veces, seleccioné iniciar windows en modo normal.

Curiosamente, conseguí conectar a pesar de ello; pero, era sólo un espejismo. Al parecer, puedo conectar durante cierto tiempo, pero pasado un rato dejo de poder conectar.

Aún así fue suficiente para pasar el AV Online.

Encontró un virus (lo señaló 3 veces) en un archivo que con las prisas por querer acabar cuanto antes con él eliminé casi al instante. No apunté el nombre, pero recuerdo la mayor parte. El virus era "Win32.Glieder.??" No recuerdo los caracteres en las interrogaciones.

De todas formas, el problema sigue estando ahí. He vuelto a pasar el antivirus del enlace y no detecta nada, pero cada vez que intento instalar el antivirus que tenía le borra unos cuantos archivos. Y la conexión sigue durando apenas unos minutos.

No sé si es porque aún quedan restos del virus que no detecta o que es algo que se le ha pasado al AV online del enlace.

Me temo que vuelvo a estar en un punto muerto. :? :?

Mensaje por **lucl** » 15 May 2007, 20:49

pasate elibagla, que debes tener varios alojados en tu pc, luego peganos el log que te dejara en C llamado infosat.txt saludos

http://www.zonavirus.com/descargas/elibagla.asp

Arioch · Mensaje por **Arioch** » 15 May 2007, 21:19

Hola de nuevo. Ya he pasado Elibagla. Este es el reporte:

[quote]
Tue May 15 20:04:56 2007

EliBagle v10.37 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.37

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\HIDIRES\HIDR.EXE --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.37

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\PROPIETARIO\DATOS DE PROGRAMA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

Tue May 15 20:05:24 2007

EliBagle v10.37 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue May 15 20:13:53 2007

EliBagle v10.37 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Tue May 15 20:16:29 2007

EliBagle v10.37 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Eliminado

Eliminada Carpeta "%AppData%\Hidires"

Tue May 15 20:17:11 2007

EliBagle v10.37 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue May 15 20:23:18 2007

EliBagle v10.37 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\
[/quote]

Mensaje por **lucl** » 15 May 2007, 21:50

pues envianos todas estas muestras que te pide elibagla

Por favor, envienos una muestra del fichero

C:\Muestras\HIDR.EXE.Muestra EliBagle v10.37

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.37

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.37

a "virus@satinfo.es". Gracias.

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

nos confirmas el envio, saludos

Arioch · Mensaje por **Arioch** » 15 May 2007, 21:55

¿A la dirección que indica elibagle (virus@satinfo.es) o a la que indica el enlace (zonavirus@satinfo.es)?

De momento, parece que el problema se ha solucionado. O al menos ha llegado a un punto al que antes no llegaba. Antes no llegaba al escaneo inicial tras la instalación del antivirus y ahora sí ha llegado (está en ello). :D

Mensaje por **lucl** » 15 May 2007, 22:06

a la del enlace , notaras mejoria claro esta pero aun has de esperar que te analicen los archivos, pero bueno primera batalla ganada, saludos

Arioch · Mensaje por **Arioch** » 15 May 2007, 22:54

Cierto, se nota alguna mejoría. Pero aún no quiero echar las campanas al vuelo porque el problema de la conexión puede volver a aparecer sin previo aviso como ya hizo antes. Los otros dos (la instalación del antivirus y firewall) de momento parecen superados.

Lo cual no quita que me encuentre muy agradecido por la ayuda mostrada y además realmente asombrado por lo rápido y eficaz del trato en este foro.

Me he quedado con ganas de aprender mucho más por lo que seguramente esté buceando por estos foros más a menudo. :)

En cuanto a las muestras ya han sido enviadas a la dirección de correo electrónica indicada y siguiendo las instrucciones del enlace (comprimidos con la contraseña que se menciona en el enlace [en mayúsculas]).

Un saludo y de nuevo muchas gracias por todo. :D

Mensaje por **msc hotline sat** » 16 May 2007, 12:59

Analizadas las muestras enviadas. resultan ser nuevas variantes del gusano BAGLE, que pasamos a controlar con la nueva version de hoy del ELIBAGLA 10.38 , que estará disponible a partir de las 20 h GMT de hoy

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 16-05-2007

Arioch · Mensaje por **Arioch** » 16 May 2007, 22:31

Hola de nuevo.

Muchas gracias por vuestra ayuda. He descargado la nueva versión y se la he pasado al ordenador. Este es el informe:

[quote]
Wed May 16 21:27:13 2007

EliBagle v10.38 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Wed May 16 21:27:59 2007

EliBagle v10.38 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\HIDR.EXE.MUESTRA ELIBAGLE V10.37 --> Eliminado Bagle

C:\Muestras\HLDRRR.EXE.MUESTRA ELIBAGLE V10.37 --> Eliminado Bagle.dldr

C:\Muestras\M_HOOK.SYS.MUESTRA ELIBAGLE V10.37 --> Eliminado Bagle (rootkit)

Wed May 16 21:33:15 2007

EliBagle v10.38 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\
[/quote]

Mensaje por **msc hotline sat** » 17 May 2007, 08:04

Pues perfecto ! Ahora sí que se ha eliminado totalmente, ficheros y claves relacionadas.

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 17 de Mayo de 2007