Hora de pedir ayuda

[aioros57]

Saludos,

quisiera pedirles consejo con el siguiente problema:



Tengo un virus en una laptop accer 4520 AMD 64X2. Cuando empezó reinició el equipo.

Les comento los síntomas iniciales:



Luego del reinicio, la pantalla de elegir usuario dejo de aparecer (si aparece si entro en modo seguro). Directamente aparece una pantalla chica con mi nombre de usuario y pide mi contraseña (los otros dos usuarios no son ofrecidos)

Al comenzar el explorador no arranca

Si inicio manual, y se conecta a internet, no abre ninguna página

Si en modo no seguro arranco un antivirus, reinicia.

Aunque no haga nada, al rato se reinicia sola o se apaga (sin desconectarse del todo, parecería prendida por las luces indicadoras pero no hace ruido.

Aparecen dos carpetas identificas como 7zS516.tmp 7zS518.tmp. La primera con un archivo SPTD138.exe y la segunda con un archivo windowsue.exe (parece un detalle menor pero no lo es, ya explico)



Luego de leer mucho hice estos intentos:

Inicio en modo seguro y scan con mis antivirus (NOD32, ADWARE y SPYBOOT). No paso nada, solo encontró que windowsuefiles.exe era un virus y lo borro (es el starpage)

Al reiniciar seguian los mismos problemas.

Respalde y formatee.

Al instalar el SO todo bien, pero al instalar los controladores WIFI y conectarse a internet (solo al abrir el navegador) se reinicio y vuelta a empezar (al conectarse a la red inhalámbrica el NOD elimino algo (no vi que) pero igual volvio a empezar



LISTO DIJE, esta en el sector 0. Disco de arranque, MBRFIX y formateo/u.

Instalo de nuevo el SO

Iba todo bien de nuevo hasta que se conectó a la red. (Cabe aclarar que no hay otros equipos en la red, es el modem ADSL conectado a un router inhalambrico por comodidad). Entonces paso lo mismo.

Pase el ELISTARA y su reporte lo pego al final. Pero desde luego todo sigue funcionando mal, no se conecta a internet, no arranca el explorer etc.

Lo interesante es que las mencionadas carpetas fueron instaladas una vez mas en el sistema con los malditos archivos SPTD138.exe y winuefiles.exe.



Mis dos preguntas si me pueden ayudar (estoy desesperado!):



1. como saco esos virus para poder trabajar en mi maquina?

2. si resistio al FIXMBR y al format/u, como lo elimino para siempre de mi computadora?



Les agradezco mucho a quienes puedan colaborar!!!!



REPORTE:



(23-7-2009 20:07:37 (GMT))

EliStartPage v19.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\_ID.DAT --> Eliminado (Fichero Complementario).

Linea Eliminada del HOSTS --> 127.0.0.1 jL.chura.pl

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(23-7-2009 20:08:06 (GMT))

EliStartPage v19.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrador\7zS518.tmp\WINUEFILES.EXE --> Eliminado, Tool-HideWindow(dr)

C:\Documents and Settings\Default User\7zS518.tmp\WINUEFILES.EXE --> Eliminado, Tool-HideWindow(dr)

C:\Documents and Settings\Pablo\7zS518.tmp\WINUEFILES.EXE --> Eliminado, Tool-HideWindow(dr)

C:\WINDOWS\system32\config\systemprofile\7zS518.tmp\WINUEFILES.EXE --> Eliminado, Tool-HideWindow(dr)



Nº Total de Directorios: 1660

Nº Total de Ficheros: 15058

Nº de Ficheros Analizados: 4896

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

[lucl]

Busca estos





SPTD138.exe y winuefiles.exe





añadeles extension .VIR al final y envianoslos para analizar. Arriba a la derecha tienes el boton de envio muestras. Deberas hacerlo encriptandolos y poniendolos de contraseña la palabra VIRUS. Los analizaremos y les daremos ahi fuerte donde les duele :D saludos

[msc hotline sat]

Bueno, el WINUEFILES.EXE ya ha sido detectado y eliminado por el ELISTARA, y este otro SPTD138.EXE, aun no lo controlamos, [b][u]envianoslo URGENTEMENTE[/u][/b] para analizar y controlar:



Buscando informacion al respecto, he encontrado:



7zS4F6.tmp\SPTD138.EXE --> Infectado, Shorty (dropper)



7zS4E0.tmp\SPTD138.exe (Trojan.Downloader)



7zS4EA.tmp\SPTD138.exe

Herramienta potencialmente no deseada:Application/HideWindow.S



Adware.Maxifiles:

1. C:\Documents and Settings\Default User\7zS4F2.tmp\SPTD138.exe

2. C:\WINDOWS\system32\config\systemprofile\7zS4F2.tmp\SPTD138.exe

3. C:\Documents and Settings\Administrador\7zS4F2.tmp\SPTD138.exe



7zS4EA.tmp\SPTD138.exe

Herramienta potencialmente no deseada:Application/HideWindow.S



o sea que parece que se instala en subcarpeta 7zS4??.tmp colgando de otras y aparenemente es una herramienta maliciosa de ocultación...





pues envianoslo para analizar y pasaremos a controlarlo en nuestra proxima version del ELISTARA, [b][u]pero hazlo enseguida, no pierdas un minuto, pues hoy a las 15 h de Barcelona (ESPAÑA) empezamos vacaciones [/u][/b]...





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 24-7-2009

[aioros57]

Gracias por las respuestas, pero no puedo enviar las muestras, paso a contarles:



Como les dije el ELISTARA elimino el winuefiles.exe. Pero el otro se quedó. Para poder mandarles las dos muestras tenía que hacer algo bien simple: reinstalar otra vez el SO. Eso hice, pero al revisar las carpetas no estaban, o sea que supongo se instalan cuando me conecto a internet.

Decidi hacer una prueba, y antes de instalar los drivers de la wifi, pase de nuevo el elistara. El informe se los pego abajo. Encontro algo (que creo que no es relevante), pero sobre todo limpio todo antes de entrar a internet.

Instale los drivers y al conectarse, todo bien, no colapso nada de nada. De hecho estoy escribiendo desde la maquina infectada.

Lamentablemente, debido a esto no tengo los archivos que me piden.

Pero igual les va a ir una muestra de algo, por si sirve. Al conectarme a internet baje el Kaspersky de evaluación y empezó a encontrar cosas. La unica que no desinfecto sino que puso en cuarentena se las estoy mandando como muestra. Tambien el informe, pero parece que el problema central ahora es un tal virut.ce, que en realidad no es tan grave porque la maquina anda y es desinfectable.



Ahora, aunque la maquina esta andando, yo sigo con la idea de que es una "portadora sana", es decir que simplemente se evito a tiempo que se reinfecte. Capaz les parece de ignorante (y lo soy) pero me imagino que algo queda en el disco duro y cuando reinstalas el SO le da la instrucción que al conectarse a internet baje esos archivos y comience el desastre. Creo que el elistara paro eso a tiempo, pero eso no significa que haya quedado desinfectada.



Les mando informe de Kaspersky, elistara y la muestra. Por favor si sacan alguna conclusión avisen, que quiero desinfectar esta maquina del todo. MUCHAS GRACIAS



Tipo: En cuarentena (eventos: 1)

24/07/2009 5:35:52 En cuarentena virus Type_Win32 C:\WINDOWS\system32\rundll32.exe

Tipo: Desinfectado (eventos: 26)

24/07/2009 5:36:15 Desinfectado virus Virus.Win32.Virut.ce C:\WINDOWS\system32\wbem\wmiprvse.exe

24/07/2009 5:37:53 Desinfectado virus Virus.Win32.Virut.ce C:\Archivos de programa\Archivos comunes\InstallShield\Engine\6\Intel 32\IKernel.exe

24/07/2009 5:37:56 Desinfectado virus Virus.Win32.Virut.ce C:\Archivos de programa\Atheros\Wireless\Install\devAMD64.exe

24/07/2009 5:37:57 Desinfectado virus Virus.Win32.Virut.ce C:\Archivos de programa\Atheros\Wireless\Install\devcon.exe

24/07/2009 5:37:58 Desinfectado virus Virus.Win32.Virut.ce C:\Archivos de programa\Atheros\Wireless\Install\devIA64.exe

24/07/2009 5:37:59 Desinfectado virus Virus.Win32.Virut.ce C:\Archivos de programa\Atheros\Wireless\Install\MainCtrl.exe

24/07/2009 5:38:01 Desinfectado virus Virus.Win32.Virut.ce C:\Archivos de programa\InstallShield Installation Information\{3E9CA789-3AAC-4F5E-B42D-EA4232DAC60F}\Setup.exe

24/07/2009 5:39:27 Desinfectado virus Virus.Win32.Virut.ce C:\WINDOWS\system32\wbem\wmiadap.exe

24/07/2009 5:41:35 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\Chipset\Chipset(13.13_logo) + Lan(65.7.5.0_logo)\Ethernet\nvunrm.exe

24/07/2009 5:41:36 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\Chipset\Chipset(13.13_logo) + Lan(65.7.5.0_logo)\SMBus\nvusmb.exe

24/07/2009 5:41:35 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\Chipset\Chipset(13.13_logo) + Lan(65.7.5.0_logo)\SMU\nvusmu.exe

24/07/2009 5:41:39 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\CIR\CIR_(7.1.64.1010_logo)\CIR_Setup(XP,Vista WPC876xL_CIRDrivers_1003_1)\WPC876xL_CIRDrivers_1003\setup.exe

24/07/2009 5:41:44 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\LAN\Ethernet\nvunrm.exe

24/07/2009 5:41:44 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\Modem_Liteon\Modem_Liteon_(2.1.77.9_logo)\Modem_Liteon_logo-v21779-xp32-acer\agrsmsvc.exe

24/07/2009 5:41:45 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\Modem_Liteon\Modem_Liteon_(2.1.77.9_logo)\Modem_Liteon_logo-v21779-xp64-acer\agr64svc.exe

24/07/2009 5:41:45 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\Modem_Liteon\Modem_Liteon_(2.1.77.9_logo)\Modem_Liteon_logo-v21779-xp64-acer\agrdel64.exe

24/07/2009 5:41:46 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\Modem_Liteon\Modem_Liteon_(2.1.77.9_logo)\Modem_Liteon_logo-v21779-xp64-acer\agrset64.exe

24/07/2009 5:41:46 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\VGA\driver_display_Nvidia\156.55\keystone.exe

24/07/2009 5:41:47 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\VGA\driver_display_Nvidia\156.55\nvappbar.exe

24/07/2009 5:41:47 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\VGA\driver_display_Nvidia\156.55\nvcolor.exe

24/07/2009 5:41:49 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\VGA\driver_display_Nvidia\156.55\nvcplui.exe

24/07/2009 5:41:50 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\VGA\driver_display_Nvidia\156.55\nvdspsch.exe

24/07/2009 5:41:51 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\VGA\driver_display_Nvidia\156.55\nvsvc32.exe

24/07/2009 5:41:51 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\VGA\driver_display_Nvidia\156.55\nvudisp.exe

24/07/2009 5:41:52 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\VGA\driver_display_Nvidia\156.55\nwiz.exe

24/07/2009 5:41:52 Desinfectado virus Virus.Win32.Virut.ce D:\Drivers Laptop\ACER 4520\WIFI\XP32_WHQL_5-3-0-35\setup.exe

Tipo: Eliminado (eventos: 1)

24/07/2009 5:41:28 Eliminado troyano Trojan.Win32.Qhost.lsc C:\WINDOWS\system32\drivers\etc\hosts





(24-7-2009 2:06:53 (GMT))

EliStartPage v19.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-7-2009 2:07:04 (GMT))

EliStartPage v19.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Nº Total de Directorios: 1036

Nº Total de Ficheros: 7697

Nº de Ficheros Analizados: 3640

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(24-7-2009 2:11:33 (GMT))

EliStartPage v19.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-7-2009 2:11:39 (GMT))

EliStartPage v19.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1085

Nº Total de Ficheros: 7698

Nº de Ficheros Analizados: 3639

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(24-7-2009 2:21:50 (GMT))

EliStartPage v19.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-7-2009 2:21:57 (GMT))

EliStartPage v19.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1081

Nº Total de Ficheros: 7695

Nº de Ficheros Analizados: 3635

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(24-7-2009 2:22:17 (GMT))

EliStartPage v19.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 91

Nº Total de Ficheros: 742

Nº de Ficheros Analizados: 362

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues craso error en lo que dice:



"[b][i]el problema central ahora es un tal virut.ce, que en realidad no es tan grave porque la maquina anda y es desinfectable.[/i][/b]"



El VIRUT es un mal bicho, infector de ejecutables y aunque desinfecte muchos, le quedaran otros, y algunos mal limpiados



En fin, ya nos dirá, ... igual tiene suerte, se la deseamos pues nos tememos que la va a necesita



Y tan pronto entremos a trabajar en SATINFO analizaremos las muestras que hayamos recibido e informaremos



saludos



ms, 24-7-2009

[crisad07]

Hola foro..Espero ser bienvenido =)

Dado que nuestro amigo (quien abrió este tema) no pudo enviar los archivos para analizar, los mandé yo.

Les agregué la extensión ".VIR".



Los archivos Se encuentran en un ZIP, con un archivo de texto (txt) que los describe. Aún asi, voy a notificarlo aquí:



*SPTD138.EXE.VIR (con extensión agregada) es un aparente Trojan Downloader (según leí).Indetectable por el NOD32,AVG,Kasp.,etc.



*Resources.exe.vir es un archivo que lo acompaña en una carpeta similar. Tampoco es detectado.



*WinuEFiles.exe.vir es un archivo que acompaña a los anteriores en una carpeta similar. Tampoco es detectado.



Los 3 se ubican en carpetas ".tmp" (7zS502.tmp entre otras).



Tengan mucho cuidado al analizarlos. Ya estoy sin fuerzas. No sé que más hacer.Mil gracias a todos y muy buen foro.

Se cuidan..

Abrazo grande :wink:

[msc hotline sat]

Pues gracias crisad07, si bien debías haber leido las instrucciones del foro y no postear en Temas antiguos:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17382



Aparte, el Tema se refería a otros ficheros que no tienen que ver con tu caso (VIRUT que es un infector malbicho, como ya se indicó, y SPTD138.EXE que no llegamos a recibir y parece ser una "Herramienta potencialmente no deseada:Application/HideWindow.S"



Al ser tu primer post, si recibimos dichos ficheros, el lunes los analizaremos a la vuelta al trabajo en SATINFO, haciendo la vista gorda, pero que te sirva de experiencia el seguir las Normas !!!



Mientras, descarga el ELISTARA, arranca en modo seguro y pruebalo, que a lo mejor ya conoce alguno o descubre otros sospechosos... :




[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 12-9-2009

[msc hotline sat]

Recibidos los ficheros, en el preanalisis vemos que mas de la mitad de los antivirus ya detectan virus:



File WinuEFiles.exe.vir received on 2009.09.14 08:57:50 (UTC)

Current status: finished



Result: 23/41 (56.10%)

Compact Print results Antivirus Version Last Update Result

a-squared 4.5.0.24 2009.09.14 -

AhnLab-V3 5.0.0.2 2009.09.13 -

AntiVir 7.9.1.14 2009.09.14 DR/HideWindows.1137780

Antiy-AVL 2.0.3.7 2009.09.14 -

Authentium 5.1.2.4 2009.09.13 -

Avast 4.8.1351.0 2009.09.13 -

AVG 8.5.0.412 2009.09.14 -

BitDefender 7.2 2009.09.14 Trojan.Generic.1325298

CAT-QuickHeal 10.00 2009.09.14 -

ClamAV 0.94.1 2009.09.14 -

Comodo 2313 2009.09.14 UnclassifiedMalware

DrWeb 5.0.0.12182 2009.09.14 Tool.HideWindows

eSafe 7.0.17.0 2009.09.13 -

eTrust-Vet 31.6.6733 2009.09.11 -

F-Prot 4.5.1.85 2009.09.13 -

F-Secure 8.0.14470.0 2009.09.13 RiskTool.Win32.HideWindows

Fortinet 3.120.0.0 2009.09.14 HackerTool/HideWindows

GData 19 2009.09.14 Trojan.Generic.1325298

Ikarus T3.1.1.72.0 2009.09.14 not-a-virus:RiskTool.Win32.HideWindows

Jiangmin 11.0.800 2009.09.14 -

K7AntiVirus 7.10.843 2009.09.12 not-a-virus:RiskTool.Win32.HideWindows

Kaspersky 7.0.0.125 2009.09.14 not-a-virus:RiskTool.Win32.HideWindows

McAfee 5740 2009.09.13 HideWindow!d

McAfee+Artemis 5740 2009.09.13 HideWindow!d

McAfee-GW-Edition 6.8.5 2009.09.14 Trojan.Dropper.HideWindows.1137780

Microsoft 1.5005 2009.09.14 Tool:Win32/Cmdow

NOD32 4423 2009.09.14 Win32/CMDOW.143

Norman 6.01.09 2009.09.11 -

nProtect 2009.1.8.0 2009.09.14 -

Panda 10.0.2.2 2009.09.13 HackTool/NewPassword.A

PCTools 4.4.2.0 2009.09.11 -

Prevx 3.0 2009.09.14 Medium Risk Malware

Rising 21.47.02.00 2009.09.14 Hack.Win32.HideWindows.a

Sophos 4.45.0 2009.09.14 HideWindow

Sunbelt 3.2.1858.2 2009.09.13 Trojan.1

Symantec 1.4.4.12 2009.09.14 SecurityRisk.Cmdow

TheHacker 6.3.4.4.402 2009.09.12 -

TrendMicro 8.950.0.1094 2009.09.14 PAK_Generic.001

VBA32 3.12.10.10 2009.09.13 -

ViRobot 2009.9.14.1933 2009.09.14 -

VirusBuster 4.6.5.0 2009.09.13 RiskTool.HideWindows.K

Additional information

File size: 1137780 bytes

MD5 : f0c6a7a121649ec7cec618b41cd0262e

SHA1 : 5b8ff3fcd73c4f551f36ec1b2e12963cf142fc7b



Parece ser una utilidad maliciosa que oculta ficheros de windows (por el nombre que le dan muchos)



Pasaremos a monitorizarlo e implementaremos su control y eliminacion en nuestras utilidades de hoy, de lo cual informaremos



saludos



ms, 14-9-2009

[msc hotline sat]

Pues ha resultado estar ya controlado por el ELISTARA actual !



descargalo, pruebalo e informanos del resultado:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 14-9-2009