Socorro ¡ ¡ ¡ (CERRADO)

[sanitexa]

Hola de nuevo, creo que tengo un bicho instalado en mi ordenador y no me salgo.

Despues de mirar varios post con situaciones similares he descargado Elistara, Elitriip, , Elipen

El tema que al encender el ordenador me sale una pantalla con una alerta de SPYWARE ATTACK ALERT, Con mucha paciencia consigo sacarla y sale el escritorio.

Para intentar solucionarlo le he arrancado en modo seguro con conexiones de red.

Cuando paso elistara el primer mensaje es:

Detectado Autorun.Inf en la unidad (C)

shellexecute="resycled\ntldr.com c:"

Doy Aceptar y sale

Lo mismo pero ahora en la unidad (D)



Paso el Elistara y me dice que no tiene virus ??

Ahora os envio el reporte

[sanitexa]

Este es el resultado



Tue Jan 27 08:20:50 2009

EliStartPage v17.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIV~1\CRAWLER\TOOLBAR\CTBR.DLL --> Eliminado CrawlerToolbar(BHO/TB)

C:\TMP.BAT --> Eliminado (Fichero Complementario).

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Eliminada Class, "{183643C8-EE67-4574-9A38-927852E34163}" -> NULL1

Eliminada Class, "{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4D25FB7A-8902-4291-960E-9ADA051CFBBF}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{54ECA872-DB2A-4C6B-BBB2-F3777C6786CC}" -> NULL1

Eliminada Class, "{8736C681-37A0-40C6-A0F0-4C083409151C}" -> NULL1

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

shellexecute="resycled\ntldr.com c:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

shellexecute="resycled\ntldr.com d:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Jan 27 08:23:18 2009

EliStartPage v17.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Archivos comunes\SWF Studio\Plugins2\SYSINFO.DLL --> Eliminado, Malware.Zambrano

C:\Archivos de programa\Crawler\Toolbar\firefox\components\XCOMM.DLL --> Eliminado, Desktoper

C:\Archivos de programa\LphantBar\TBLPH1.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\LphantBar\TBLPHA.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Archivos de programa\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Archivos de programa\shARES\TBSHAR.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\Softonic_ES\TBSOFT.DLL --> Eliminado, TBConduit(tb)

C:\Documents and Settings\owner\Escritorio\Descargas\UNITYWEBPLAYER.EXE --> Eliminado, mIRC(chat)

C:\SWSETUP\MSWorks\SP\PFiles\MSWorks\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\SWSETUP\MSWorks\SP\PFiles\MSWorks\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpofficejet_6300_ser206a\HPZ3A054.DLL --> Eliminado, MoviePass



Nº Total de Directorios: 11644

Nº Total de Ficheros: 111307

Nº de Ficheros Analizados: 27035

Nº de Ficheros Infectados: 13

Nº de Ficheros Limpiados: 13



Tue Jan 27 08:45:34 2009

EliTriIP v5.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Tue Jan 27 08:46:08 2009

EliTriIP v5.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11643

Nº Total de Ficheros: 111294

Nº de Ficheros Analizados: 23455

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jan 27 11:56:56 2009

EliStartPage v17.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

shellexecute="resycled\ntldr.com c:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

shellexecute="resycled\ntldr.com d:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Jan 27 12:10:08 2009

EliStartPage v17.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11723

Nº Total de Ficheros: 116069

Nº de Ficheros Analizados: 29598

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jan 27 13:00:40 2009

EliStartPage v17.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

shellexecute="resycled\ntldr.com c:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

shellexecute="resycled\ntldr.com d:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Jan 27 13:07:31 2009

EliStartPage v17.87 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11721

Nº Total de Ficheros: 115842

Nº de Ficheros Analizados: 29571

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues envianos los dos ficheros para analizar:





C:\Autorun.Inf



C:\resycled\ntldr.com





El primero será facil, maximo tendrá atributos de oculto y de sistema:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





pero para enviarnos el segundo, primero muevelo a C:\muestras , para lo que puedes probar el ELIMOVER con un copiar y pegar de la ruta y nombre en cuestion : C:\resycled\ntldr.com





DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp



Para enviarnoslo:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 27-1-2009

[sanitexa]

Creo que un archivo esta enviado ( espero que correctamente ). El segundo C:\resycled\ntldr.com al copiar la ruta en Elimover me da mensaje de: no existe fichero.

[msc hotline sat]

Pues como que tambien se detectó en D:, buscalo allí:



Detectado AUTORUN.INF en la Unidad (D)

shellexecute="resycled\ntldr.com d:"



Entra en el ELIMOVER la siguiente línea:



D:\resycled\ntldr.com



espero que lo encuentres, y sino en algun pendrive infectado, entrando la unidad donbde se inserte.



saludos



ms, 27-1-2009

[sanitexa]

No hay manera,he colocado los 2 Pendraive que utilizo habitualmente y los he puesto en F:\ y tampoco, qu me aconsejas

[sanitexa]

Intento activar Elipen y me da el siguiente mensaje:

C:\DOCUME~~1\owner\ESCRIT~1\Satinfo\Elipen.exe

La CPU NTVDM ha encontrado una instruccion no permitida

CS:0737 IP:0106 OP:ff ff f9 ff fe Elija"cerrar" para finalizar

cerrar omitir



Significa algo ??

[msc hotline sat]

Es la unidad D: una particion del Disco duro u otra unidad física, o que ???



Aparte de contestarnos, podrías lanzar este AV ONLINE que lo detectaría, si es que aun existe, no sea que lo hayas eliminado de alguna forma ¿¿¿ :?: ???



http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





saludos



ms, 27-1-2009

[sanitexa]

Si, D es un segundo ??? disco duro llamado Presario con unas 5 GB de capacidad.

ahora mismo me pongo con el AV online y le reporto el diagnostico

[msc hotline sat]

Asi saldremos de dudas de si lo tienes o ya lo has borrado ...



En cualquier caso te ha rondado un virus de pendrive... vacuna ordenadores y pendrives con el ELIPEN:







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 27-1-2009

[sanitexa]

este el resultado

Intento activar Elipen y me da el siguiente mensaje:

C:\DOCUME~~1\owner\ESCRIT~1\Satinfo\Elipen.exe

La CPU NTVDM ha encontrado una instruccion no permitida

CS:0737 IP:0106 OP:ff ff f9 ff fe Elija"cerrar" para finalizar

cerrar omitir

[msc hotline sat]

Puede que tenga mal el sistema, y proceda REPARARLO o que un virus le altere el proceso indicado, por lo que ANTE TODO, POSTEENOS EL INFORME RESULTANTE DEL AV ONLINE SOLICITADO, y obraremos en consecuencia



saludos



ms, 27-1-2009

[sanitexa]

El resultado de analisis de Bitdefender Online



C:\archivos de programas\Valves\Steam\SteamApps\sanitexa\condition cero\czero\hlc 10.zip=>hlc 10.exe

infected with: Trojan Generic 1336988

C:\archivos de programas\Valves\Steam\SteamApps\sanitexa\condition cero\czero\hlc 10.zip=>hlc 10.exe

Deleted

C:\archivos de programas\Valves\Steam\SteamApps\sanitexa\condition cero\czero\hlc 10.zip=>

Updated

C:\autorun.inf Infected with: Trojan Autorun.AFD

C:\autorun.inf Desinfection Failed

C:\autorun.inf Deleted

C:\InfoSat.txt Infected with: Trojan Autorun.AFD

C:\InfoSat.txt Desinfection Failed

C:\InfoSat.txt Deleted

C:\System Volume Information\_restore{63A4945D-5EBF-4682-9870-D32280407B10}\RP828\A0390860.inf

Infected with: Trojan Autorun.AFD

C:\System Volume Information\_restore{63A4945D-5EBF-4682-9870-D32280407B10}\RP828\A0390860.inf

Desinfection Failed

C:\System Volume Information\_restore{63A4945D-5EBF-4682-9870-D32280407B10}\RP828\A0390860.inf

Deleted



En cuanto al analisis de Kasperski, envio como muestra

[msc hotline sat]

Te pediamos que lo hicieras con un AV ONLINE que te indicabamos especificamente, no con cualquier otro como has hecho.



Fijate que con él has borrado ficheros que te hubieramos pedido que las enviaras como muestras... Así que has quemado tus naves !!



En consecuencia damos por terminado el Tema y procedemos a cerrarlo



Otra vez haz cosa de lo que te digamos !!!



Aparte, recuerda: https://foros.zonavirus.com/viewtopic.php?f=1&t=1307



saludos



ms, 29-1-2009



img]http://img138.imageshack.us/img138/4893/closed2ur0.gif[/img]

[msc hotline sat]

Nota postcierre:



Respuesta a un privado que ha remitido el autor del Tema tras el cierre del mismo:


[quote="en el privado,"]
sanitexa

Tema del mensaje: Continua la pantallaCarpeta: Carpeta desconocida

Hola:

Acabo de conectarme en modo seguro, ya que continua saliendo la pantalla, y he visto tu respuesta

Entiendo por ella que por haber pasado otro AV se han borrado los ficheros y el tema ya debe pasar por manos de un profesional ?? O por el contrario crees que se puede abrir un nuevo post y serguir el tema?. En caso de ser la primera te agradeceria me pudieras remitir algun profesional que te mereciera tu confianza para la solucion definitiva de este asunto. Vivo e Terrassa como te dije, pero no me importa desplazarme por la zona.

Gracias por tu respuesta

Saludos
[/quote]
Efectivamente, pedimos especificamente que se analice con un antivirus ONLINE que no elimine nada, solo informe:



[b][i]"Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia."[/i][/b]



para pedir muestras de lo detectado y poder analizarlas y monitorizarlas y ver lo que hacen, pero no con este que ha pasado que ha eliminado las pistas



Con ello nos hemos quedado sin las pocas pistas que teníamos, y ademas de hacer un flaco favor al foro, se ha quedado sin que le podamos seguir ayudando.



Y sobre alguna empresa que le pueda ayudar con su problema, le recomiendo acuda a la empresa que le hace el mantenimiento informatico, lo unico que debe recalcarles es que le conserven los datos, si son de su interés, por lo que mejor que ante todo los salven, por lo que pudiera ser...



Y se recuerda que los privados no son para consultas tecnicas, Estas deben ser posteadas en el foro, para aprovechamiento de todos:



https://foros.zonavirus.com/viewtopic.php?f=1&t=528



saludos



ms, 28-1-2009