Virus y más virus

[Lorien]

Hola, como este es mi foro salvador y un amigo tiene un pc con virus que mejor sitio que este para acudir que nunca me habeis fallado.

Bueno a lo que vamos. Mi amigo tiene un portatil con XP y la verdad es que se lo tienen bien merecido porque no tiene nada de seguridad en el ordenador. Le he pasado el Panda ActiveScan ya que se le reiniciaba solo y este es el resultado:



- W32/Bobax.C.worm

- W32/Nachi.B.worm

- W32/Sasser.ftp

- Eicar.mod.........................renamed

- Eicar.mod.........................No disinfected



Los dos últimos ponía algo del Karspesky.Tenia la version shareware pero caducada desde hace tiempo.

Le hemos pasado el ELISASSA.EXE pero yo no se que virus de los que tenemos quita y cual no y si esta bien limpio, tampoco se si el Panda online se cargo alguno ya que dice que los habia eliminado pero el pc seguia reiniciandose, despues del ELISASSA.EXE, hasta el momento no se ha reiniciado , que tenemos que hacer para solucionar el problema?no tengo ni idea. Lo primero bajarse el parche de seguridad MS04-011 pero de donde lo saco?

[carolxsiempre]

ve a http://www.windowsupdate.com y no solo baja ese parche si no todos los criticos que aparezca.



Saludos

Carolxsiempre

[Lorien]

Ok, es lo que pensaba hacer. Pero solo con hacer eso se me van a quitar los virus que ya tengo?despues de lautilidad vuestra se supone que el Sasser ya no lo tengo no?esa herramienta quita el Bobax y el Nachi?que es Eicar.mod. Muchas gracias por tu rapidez en contestar

[carolxsiempre]

Leete la siguiente información:



Nombre común: Eicar.Mod

Nombre técnico: Eicar.Mod

Peligrosidad: Baja

Tipo: Virus

Efectos: Realiza acciones perjudiciales para el ordenador infectado.

Plataformas que infecta: MS-DOS

Fecha de aparición: 18/07/2003

¿Está en circulación?







Descripción breve





Eicar.Mod es una versión modificada del fichero de prueba Eicar. El fichero de prueba Eicar no es un virus realmente, sino un programa de MS-DOS que sirve para comprobar la efectividad y la calidad de programas antivirus y herramientas de detección de virus. Panda Antivirus detecta este fichero de prueba con el nombre EICAR-AV-TEST-FILE.



El fichero de prueba Eicar fue creado a tal efecto por la organización internacional Eicar, y se actualizó el 1 de mayo de 2003, de modo que garantizara una mayor eficacia.



Dado que Eicar.Mod representa una versión modificacada del fichero Eicar auténtico, podría llegar a contener código vírico.



Síntomas visibles





Cuando se ejecuta el fichero de prueba Eicar, muestra en pantalla el siguiente mensaje:



EICAR-STANDARD-ANTIVIRUS-TEST-FILE!



Sin embargo, dado que Eicar.Mod es una versión modificada del fichero Eicar, podría mostrar el mismo mensaje u otros distintos.



Efectos



Eicar.Mod es una versión modificada del fichero de prueba Eicar. Por lo tanto, podría contener código vírico que significara una amenaza para la seguridad de su ordenador, teniendo incluso efectos destructivos.



Método de Propagación



Eicar.Mod no utiliza ningún método específico para difundirse. De hecho, puede utilizar cualquiera de los métodos de propagación normalmente utilizados por los virus: disquetes, CD-Rom, mensajes de correo electrónico con ficheros adjuntos infectados, descargas de Internet, transferencia de ficheros a través del FTP, etc.



¿Cómo eliminar a Eicar.Mod?





Después, si durante el proceso de análisis, Panda ActiveScan o su antivirus detectan a Eicar.Mod, el antivirus le dará automáticamente la opción de eliminarlo: hágalo, siguiendo las instrucciones del programa.



Notas adicionales:



Si su ordenador tiene Windows Millenium o Windows XP, pulse aquí para obtener más información sobre cómo eliminar Eicar.Mod definitivamente.





¿Cómo protegerme de Eicar.Mod?



Tenga en cuenta los siguientes consejos para mantenerse protegido contra los virus:



Instale un buen antivirus en su ordenador. Mantenga su antivirus actualizado. Si su antivirus admite actualizaciones automáticas, configúrelas para que funcionen siempre así.

Tenga activada la protección permanente de su antivirus en todo momento.



Para eliminar el nachi : http://www.zonavirus.com/descargas/EliRPCA.exe





Saludos

Carolxsiempre

[msc hotline sat]

Y complemento lo indicado por Carol con la sugerencia de usar el ELIRPCA.EXE para la eliminacion del virus Nachi.



https://foros.zonavirus.com/viewtopic.php?t=796



Y para el BOBAX, le agradeceríamos nos enviara muestras del mismo a zonavirus@satinfo.es ya que para hacer una utilidad de eliminacion necesitamos que nos envien muestras, sin lo cual solo cabe utilizar el antivirus con el que se haya detectado.



Si puede hacernos llegar muestras, le recuerdo que deben enviarse a zonavirus@satinfo.es anexandolas a un mail en cuyo texto se haga un copiar y pegar de este post.



Tambien del Eicar.mod nos interesaría nos enviara muestras, pues tampoco hemos tenido incidencias hasta la fecha. Este fichero puede tenerlo con diferente nombre, pues su antivirus se lo renombró, se supone que la extension. Cin un inicio-buscar-ficheros y carpetas-eicar*.* lo localizará. Mire de enviarnoslo, aunque ya no le afecte.



Y por supuesto que con el ELISASSA eliminó el SASSER que tenía, y si ya ha aplicado los parches, solucionado.



saludos



ms, 8-06-2004

[Lorien]

Hola a todos, lo primero muchas gracias por la información.

Lo primero decir que creo que el eicar.mod no se si lo tengo o es que estaba en la carpeta del antivirus karpesky. No lo se.Ya que el directorio donde dice el antivirus que esta es en archivos de programa/karpesky, lo que me extraña es que el panda lo renombrara, no lo se.

Lo que me dices de mandar muestras es que no tengo ni idea de como se hace ya que mis conocimientos en informatica son bastante bajos, si me explicas como lo hago te las mando, ok?

El ordenador ya no se reinicia por lo que saco en conclusion que el virus que hacia eso ya no esta.

Al encender el ordenador sale un error del explorer que dice[color=red] "Explorer.exe ha detectado un problema y debe cerrarse"[/color], que podemos hacer con esto?

Le he hecho las actualizaciones de windows upsate, le he instalado el cortafuegos zone alarm, el ad-aware y el spybot, solo me falta un antivirus que estoy viendo cual es el mejor.

Muchas gracias por la ayuda y me gustaria saber que debo hacer ahora, ya no se que virus tengo y cuales no.

Un saludo a todos y gracias de nuevo

[msc hotline sat]

El envio de ficheros muestra es tan simple como agregar a un mail el indicado fichero, como hace cuando quiere enviar algo a un amigo.



Sobre lo del antivirus, le recomiendo el McAfee 7.1 Enterprise, que es el que se usa para proteccion de esta web y el que usamos los "mosqueteros" de la misma.



Mientras, lance un antivirus ONLINE por si tuviera algun virus:



Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/



Y si ya no pudiera arrancar ni en modo seguro, cabría pensar en pasar el SFC.EXE (del sistema operativo) o en una reparacion de los ficheros de sistema, arrancando con el CDROM de instalacion-.



saludos



ms, 9-06-2004

[Lorien]

Ahhh y también creo que se ha cargado el cd rom porque cuando le doy a que se habra falla y no lee los cds o se los queda dentro.

Pasare el antivirus online que me has dado y cuando me diga donde estan los virus (si queda alguno que quedará seguro) te mando las muestras para que los veas, ok?

Arrancar el pc se puede y tambien usasr internet solo salta el aviso pero parece que no hace nada al ordenador.

El McAfee que me dices cuanto vale?

Un beso.

Ahhhh!Lo del cd rom puede haber sido el virus?que hago con el?tengo que llevarlo a la tienda o si quito los virus se arregla el cdrom

[msc hotline sat]

Los virus no afectan a los dispositivos fisicos ni perifericos, solo pueden alterar o borrar sus drivers, lo cual puede restaurarse desinstalando y volviendo a instalarlos.



Ni en esta web ni en la empresa donde trabajo vendemos antivirus. En Satinfo somos mayoristas y solo vendemos a distribuidores, si bien tenemos trato directo con usuarios que han contratado nuestros servicios a tal fin. Puede pedir a cualquier distribuidor informatico que conozca (el mismo que le vende el PC), presupuesto, pero pidale 7 ENTERPRISE, no se deje convencer por otra cosa, o bien lo que le recomiende él, si le tiene confianza y le dá soporte técnico, pues es a quien podrá exifir responsabilidades.



Si Vd trabaja en una empresa, es normal que los trabajadores empleen en casa el mismo que en la empresa, lo cual facilita su manejo y conocimiento de producto. Y el indicado 7 ENTERPRISE es el de empesas, el que usamos nosotros, y es el que le recomiento.



Gracias por su confianza



saludos



ms, 9-06-2004

[Lorien]

Puede ser el virus "CODE RED II" el que se ha cargado lo del cdrom y lo del explorer.exe?

[Lorien]

Estos son los procesos que tiene activos el ordenador, los he sacado con un programa que se llama :Procexp. No se si tendrá que ver pero para que sepas mas del ordenador esta bien.





[color=red]Process PID CPU Description Company Name

System Idle Process 0 96

Interrupts n/a 1 Hardware Interrupts

DPCs n/a Deferred Procedure Calls

System 4

SMSS.EXE 600 Windows NT Session Manager Microsoft Corporation

CSRSS.EXE 668 1 Client Server Runtime Process Microsoft Corporation

WINLOGON.EXE 692 Aplicación de inicio de sesión de Windows NT Microsoft Corporation

SERVICES.EXE 752 2 Aplicación de servicios y controlador Microsoft Corporation

SVCHOST.EXE 924 Generic Host Process for Win32 Services Microsoft Corporation

SVCHOST.EXE 1048 Generic Host Process for Win32 Services Microsoft Corporation

StyleXPService.exe 1076 StyleXPService Module

SVCHOST.EXE 1224 Generic Host Process for Win32 Services Microsoft Corporation

SVCHOST.EXE 1268 Generic Host Process for Win32 Services Microsoft Corporation

SPOOLSV.EXE 1420 Spooler SubSystem App Microsoft Corporation

NETCLNT.EXE 1548

TCPSVCS.EXE 1652 TCP/IP Services Application Microsoft Corporation

vsmon.exe 1704 TrueVector Service Zone Labs Inc.

minilog.exe 412 TrueVector Basic Alert Logger Zone Labs Inc.

LSASS.EXE 764 LSA Shell (Export Version) Microsoft Corporation

EXPLORER.EXE 276 Explorador de Windows Microsoft Corporation

procexp.exe 428 Sysinternals Process Explorer Sysinternals

MSNMSGR.EXE 1580 Messenger Microsoft Corporation

zonealarm.exe 1916 ZoneAlarm Zone Labs Inc.



Process: Procexp Pid: -1



Type Name[/color]

[msc hotline sat]

Efectivamente, el Code Red II es un virus de haces tres años que implementaba un EXPLORER:EXE alterado en las máquinas que infectaba, y su ejecución creaba un peligroso backdoor, pero esto solo afectaba a máquinas con IIS, propio de servidores web con w2000



Bo lo indicaba en su relacion de virus que había detectado, por esto le pedía que nos enviara el fichero para ver si era diferente del original.



Y sobre lo del CDROM, cualquier virus puede alterar su comportamiento, por el simple hecho de colision de residentes, sin que tenga necesariamente que tener previsto tal efecto.



No sé si es que había tenido el Coide red o porqué lo dice, pero en todo caso digabos además su sistema operativo y si tiene instalado Internet Information Servre (IIS)



saludos



ms, 9-06-2004

[Lorien]

El sistema operativo es Windows XP Home. Y lo de IIS, no se que es pero lo he buscado con el buscador y tengo de eso:

- IIS...............C:\1386..............Archivo DL_

- IIS...............C:\1386..............Archivo IN_

- iis6...............C:\WINDOWS\system32\Setup

- iis.dll.............C:\WINDOWS\System32\CatRoot\(F750E6C3-38EE-11D1-85E5-00C04FC295EE)

[msc hotline sat]

Y a qué ha venido lo del CODE RED II ?



Porque has visto que modificaba el EXPLORER:EXE ?



Mejor envianos dicho fichero y saldremos de dudas.



saludos



ms, 9-06-2004