Panda no detecta virus, pero cuando enchufo pendrive o disco duro detecta Generic Malware (SOLUCIONADO)

[Mariansin]

Buenos días a todos!



Tengo el Panda 2009 instalado con XP, actualizado y funcionando perfectamente... hasta ahora.



Hace unos días, bajando una aplicación para extraer la música de uno de los ipod de mi empresa, se me coló algo, el caso es que empezaron a saltar pantallas diciendo que el equipo estaba en riesgo, aparecía un logo distorsionado del centro de seguridad de windows abajo a la derecha, e intentaba instalar todo el rato algún programa y yo le daba a cancelar, el caso es que las pantallas seguían saltando y apagué el equipo.



Cuando reinicié ya no pasaba aquello, borré la carpeta que me había dado el problema, desinstalé el programita dichoso y parecía que no había pasado nada. Hasta que metí un pendrive en mi pc y luego lo enchufé en el portatil de una amiga que no tenía su antivirus en buenas condiciones... pasó lo mismo, venga a saltar pantallas y alertas, reinicié y ya sólo se arrancaba en modo a prueba de fallos, tuve que reinstalar todo el sistema operativo de su ordenador :evil:



Ya sé que me vais a llamar burra, pero confiada enchufé el pendrive en mi ordenador de casa, allí saltó el antivirus diciendo que había bloqueado un virus con mi nombre y terminado en .exe, decidí formatear el pendrive, pero no me dejaba porque siempre decía que tenía un proceso activo, lo formatee por el ms2 pero seguía apareciendo un autorun. Lo volví a enchufar en el ordenador del trabajo y saltó lo siguiente:



Virus detectado: W32/Autorun.JFL.worm Protección antivirus 06/08/2009 11:35:57 Desinfectado Ubicación: E:\AUTORUN.INF



Ya no he vuelto a enchufar el pendrive a ningún ordenador.



El caso es que le he pasado el Panda a mis dos ordenadores y en ninguno de los dos me detecta virus, pero en ambos, dentro de los procesos activos está MARIAN.EXE y no hay forma de eliminarlo.



Ayer conecté un disco duro al ordenador del trabajo y el Panda detectó lo siguiente:



Virus detectado: Generic Malware Protección antivirus 11/08/2009 9:46:32 Desinfectado Ubicación: E:\MARIAN.EXE



Sé que más de uno tiene que pensar que estoy loca por todo lo que he hecho, le doy la razón, pero os agradecería muchísimo si me pudierais ayudar, sobre todo, porque si tengo que formatear el ordenador del trabajo me va a dar un ataque... :oops: Gracias!!!

[lucl]

Bueno pues antes de nada debes descargarte elipen y pasarlo primero en tu ordenador y el de la empresa y luego vacunar tus pendrives.





http://www.zonavirus.com/descargas/elipen.asp





Ademas descargate tambien elistara y lo pasas en los dos pc. Como supongo que es el mismo virus no hace falta que nos pongas los dos infosat.txt que te dejaran en C, con uno bastara. Nos lo pones aqui como respuesta al tema para ver que han encontrado las herramientas y a partir de ahi seguimos, saludos.



http://www.zonavirus.com/descargas/elistara.asp

[Mariansin]

Estoy pasando el elistara pero se me queda colgado eliminando los archivos temporales y no sé cómo cerrarlo. Cosa curiosa: al ver ahora los procesos activos, para intentar cerrar el NO RESPONDE del elistara, veo que me ha desaparecido el MARIAN.EXE

[Mariansin]

Aquí está el mensaje infosat:





(12-8-2009 10:09:56 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\MARIAN.EXE.Muestra EliStartPage v19.10

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\MARIAN\MARIAN.EXE --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-8-2009 10:13:39 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[lucl]

Pues como ves te ha detectado el marian.exe, envianoslo para analizar tienes que empaquetarlo con winrar o winzip y ponerle de contraseña la palabra VIRUS. Arriba a la derecha tienes el boton de envio de muestras. Y aunque elistara lo ha eliminado en C tienes una carpeta llamada muestra donde esta el archivo en cuestion. Buscalo alli y mira si elistara le ha añadido la extension .vir , si no es asi hazlo tu misma. Para que no incordie mientras los tecnicos analizan el envio. Y no te olvides de usar el elipen para proteger el pc y los pendrives, saludos.

[Mariansin]

Ya está enviada, lo único es que no he sabido ponerle la contraseña al archivo :roll:



Muchísimas gracias por tu ayuda!!

[Mariansin]

Otra cosa rara...



Acabo de poner el pendrive vacunado en el ordenador de mi compi y me aparece una carpeta Autorun, pero también un ejecutable con mi nombre y apellido, que cuando lo enchufo en mi PC no aparece, ni lo he tocado :shock:

[Mariansin]

Por si sirve de algo, ésta es la página desde donde me descargué el problema:



http://www.INTERCEPTADO

[lucl]

A ver tienes que volver a enviar la muestra, sin la contraseña los servidores la detectan y eliminan :) . En cuanto a la carpeta con tu nombre y apellido añadele extension .vir y subela a analizar a esta direccion





www.virustotal.com/es



si sale virico nos pegas el log, igual necesitamos que nos envies tambien esa carpeta, fijate de paso en cuanto pesa por si fuera muy grande. Y voy a interceptar el link que has puesto por si acaso, aunque el macfee site advisor no detecta nada raro es conveniente para que no se infecte nadie. Por cierto conoces el macfee siteadvisor? te avisa de que paginas son seguras o no, saludos.

[Mariansin]

Lo he tenido que enchufar en otro ordenador del trabajo porque en el mío no detectaba ese archivo, al cambiarle la extensión y analizarlo ha cantado Virus :cry:



¿Qué es lo que te tengo que enviar? Perdona, mi ignorancia pero no sé lo que es el log...

[Mariansin]

El archivo es:



Marianmiapellido.exe



Lo he cambiado a Marianmiapellido.vir en otro ordenador, en ese ordenador salta el aviso de Panda de que hay un intento de secuestro del explorer, le decía que no lo permitiera. Allí analicé el archivo y salía que era un troyano, pero creo que debo enviarte el informe desde ese ordenador porque al pasar el pendrive al mío, sigo sin ver el archivo, ni siquiera con la extensión cambiada a .vir

[Mariansin]

El enlace al resultado del análisis de virustotal:



https://www.virustotal.com/es//analisis/413cb9a55ed1121ddadeec5694d6e79cb90f9d838de8d900d27ca2d864bc9ae7-1250076427

[Mariansin]

Parece que en el ordenador de casa tenía algo más...





(12-8-2009 12:58:22 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\MARIAN M_RIDA.EXE.Muestra EliStartPage v19.10

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\MARIAN M_RIDA\MARIAN M_RIDA.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[lucl]

Hola Marian, pues a ver esto es lo que yo imaginaba. El otro pc esta infectado tambien, el log que me tenias que pegar era este que no es mas que un archivo de texto donde vienen resultados.



Análisis del archivo Marian_M__rida.vir recibido el 2009.08.12 11:27:07 (UTC)

Estado actual: análisis terminado



Resultado: 20/41 (48.78%)

Compactar Imprimir resultados



Motor antivirus Versión Última actualización Resultado

a-squared 4.5.0.24 2009.08.12 Virus.Win32.AutoRun!IK

AhnLab-V3 5.0.0.2 2009.08.12 -

AntiVir 7.9.1.0 2009.08.12 TR/VB.sow

Antiy-AVL 2.0.3.7 2009.08.12 -

Authentium 5.1.2.4 2009.08.12 -

Avast 4.8.1335.0 2009.08.11 Win32:AutoRun-AXP

AVG 8.5.0.406 2009.08.12 VB.IQE

BitDefender 7.2 2009.08.12 -

CAT-QuickHeal 10.00 2009.08.12 -

ClamAV 0.94.1 2009.08.12 -

Comodo 1953 2009.08.12 -

DrWeb 5.0.0.12182 2009.08.12 Win32.HLLW.Autoruner.7341

eSafe 7.0.17.0 2009.08.11 -

eTrust-Vet 31.6.6673 2009.08.12 -

F-Prot 4.4.4.56 2009.08.11 -

F-Secure 8.0.14470.0 2009.08.12 Worm.Win32.AutoRun.gjm

Fortinet 3.120.0.0 2009.08.12 -

GData 19 2009.08.12 Win32:AutoRun-AXP

Ikarus T3.1.1.64.0 2009.08.12 Virus.Win32.AutoRun

Jiangmin 11.0.800 2009.08.12 Trojan/VB.mcr

K7AntiVirus 7.10.816 2009.08.11 -

Kaspersky 7.0.0.125 2009.08.12 Worm.Win32.AutoRun.gjm

McAfee 5706 2009.08.11 Generic Packed.c

McAfee+Artemis 5706 2009.08.11 Generic Packed.c

McAfee-GW-Edition 6.8.5 2009.08.12 Heuristic.LooksLike.Trojan.L

Microsoft 1.4903 2009.08.12 Worm:Win32/Autorun.UE

NOD32 4328 2009.08.12 a variant of Win32/AutoRun.VB.EW

Norman 6.01.09 2009.08.11 W32/AutoRun.WDN

nProtect 2009.1.8.0 2009.08.12 Trojan/W32.Agent.128000.AO

Panda 10.0.0.14 2009.08.11 -

PCTools 4.4.2.0 2009.08.11 -

Prevx 3.0 2009.08.12 -

Rising 21.42.23.00 2009.08.12 -

Sophos 4.44.0 2009.08.12 Mal/VBAuto-A

Sunbelt 3.2.1858.2 2009.08.12 Trojan.Win32.Generic!BT

Symantec 1.4.4.12 2009.08.12 -

TheHacker 6.3.4.3.381 2009.08.11 -

TrendMicro 8.950.0.1094 2009.08.12 WORM_AUTORUN.CFC

VBA32 3.12.10.9 2009.08.12 -

ViRobot 2009.8.12.1881 2009.08.12 -

VirusBuster



Debes enviarnos la carpeta tambien, pero antes de nada empaquetalo con winrar, cuando se abre el cuadro dale a opciones avanzadas y alli te viene lo de la contraseña, la pones aceptas y comprimes.



Es posible que en tu pc tengas que activar ver archivos ocultos, mirate este link



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y confirmanos si aparece la carpeta de tu nombre y apellido. Otro detalle mas, en vez de cambiarle la extension lo que tenias que hacer era añadir .vir y que quedara .exe.vir. En el otro pc que usaste el pendrive mira de analizar tambien y proteger con elipen. Por cierto al usar elipen el infosat.txt ha sido modificado por lo que por favor vuelve a pegarme el log entero gracias. Y no te preocupes por lo que no sabes que esto es perfectamente normal. Saludos.

[lucl]

Pues al ultimo mensaje que me pones del pc de tu casa. Como ves elistara si te lo ha detectado , el archivo en cuestion me refiero a este ultimo que subiste a analizar a virustotal y te lo ha eliminado. Entonces como antes debes enviarnoslo y comprobar si en la carpeta muestras esta añadida la extension .vir que supongo que si. Una cosa importante, de momento no andes con pendrives de un pc a otro por si acaso las moscas. Que esto a veces es muy contagioso, lo que me interesa es el log de infosat con lo que ha detectado elipen pero imagino que ahora ya no me puedes poner el del curro. Aun asi como estas infectada del mismo virus pasalo en tu pc de casa y me lo copias ok? gracias saludos.

[Mariansin]

Hola lucl!



Te estoy dando el día... :(



Ya te he enviado con la contraseña el marian.exe y el marianmiapellido.exe (este último estaba en el pc de casa)



El marianmiapellido.exe que hay en el pendrive sigo sin detectarlo en el trabajo y tampoco en mi casa, sólo en el ordenador de mi compañera y en todos tengo activada la vista de archivos ocultos. En el infosat no hay registros diferentes de indicencias, sólo que lo he pasado, varias veces...



De hecho, he pasado el elistara al pendrive y me dice que hay 3 archivos, pero sólo analiza 2:



(12-8-2009 13:10:43 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "J:\"



Nº Total de Directorios: 3

Nº Total de Ficheros: 3

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Ahora vuelvo al trabajo, así que usaré el ordenador de mi compañera para enviarte el archivo del pendrive, antes de tocarlo le había instalado el elipen y el elistara y no había cantado nada.



Gracias!

[Mariansin]

Aquí te pongo toda la secuencia del infosat del ordenador del trabajo:





(12-8-2009 10:09:56 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\MARIAN.EXE.Muestra EliStartPage v19.10

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\MARIAN\MARIAN.EXE --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-8-2009 10:13:39 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-8-2009 10:29:13)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



(12-8-2009 10:30:40 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



(12-8-2009 10:31:13)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad E:\ Protegida



(12-8-2009 10:34:11)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad E:\ Protegida



(12-8-2009 10:52:09 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



(12-8-2009 11:50:16 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[Mariansin]

Pues ya te he enviado los 3 archivos, el del pendrive lo comprimí con el autorun incluido.



De momento, parece que los ordenadores están limpios y el único que tiene "resto" es el pendrive.



Gracias por todo y saludos!

[lucl]

Bien Marian pues ahora toca esperar a que lo analicen. No le cambies la extension a ninguno y espera unos dias que vuelvan los tecnicos de vacaciones y lo analicen para que te den la herramienta necesaria. Ten precaucion con los pendrives ok? saludos.

[Mariansin]

La verdad es que después de esta experiencia me he quedado bastante escarmentada :oops:



Se supone que ahora tengo los ordenadores limpios, pero el pendrive con el visitante ¿no?

[lucl]

Veras se supone que tienes el pc y el pendrive con los virus "atontados" para que no den guerra. Lo del elistara que tienes tres archivos y analiza dos es normal. Tambien te analiza el pc y no todo lo que tienes lo analiza. Solo lo que considera necesario para buscar bichos. No se si conoces el siteadvisor como te comente antes, aunque igual no hace falta porque el panda ya te dice que paginas son buenas para visitar o no. Comentamelo y si quieres te doy el link. Aun asi a veces nos entran bichos de la forma mas insospechada y simplemente hay que tener cuidado y paciencia si lo pillas, saludos.

[Mariansin]

Vaya, como el elistara decía que habían sido eliminado ya estaba más tranquila, bueno, por lo menos estoy en el camino de cargármelos.



De verdad que te estoy infinitamente agradecida por tu ayuda de hoy :wink:

[msc hotline sat]

En el preanalisis de los ficheros infectados, han resultado ser virus de pendrive:



File MARIAN.EXE.Muestra_EliStartPage_v received on 2009.08.25 07:28:06 (UTC)

Current status: finished



Result: 22/41 (53.66%)

Compact Print results Antivirus Version Last Update Result

a-squared 4.5.0.24 2009.08.25 Virus.Win32.AutoRun!IK

AhnLab-V3 5.0.0.2 2009.08.24 -

AntiVir 7.9.1.3 2009.08.24 TR/VB.sow

Antiy-AVL 2.0.3.7 2009.08.24 -

Authentium 5.1.2.4 2009.08.25 -

Avast 4.8.1335.0 2009.08.24 Win32:AutoRun-AXP

AVG 8.5.0.406 2009.08.24 VB.IQE

BitDefender 7.2 2009.08.25 Trojan.Agent.VB.BEF

CAT-QuickHeal 10.00 2009.08.25 -

ClamAV 0.94.1 2009.08.25 -

Comodo 2080 2009.08.25 -

DrWeb 5.0.0.12182 2009.08.25 Win32.HLLW.Autoruner.7341

eSafe 7.0.17.0 2009.08.24 -

eTrust-Vet 31.6.6698 2009.08.24 -

F-Prot 4.4.4.56 2009.08.24 -

F-Secure 8.0.14470.0 2009.08.25 Worm.Win32.AutoRun.gjm

Fortinet 3.120.0.0 2009.08.24 -

GData 19 2009.08.25 Trojan.Agent.VB.BEF

Ikarus T3.1.1.68.0 2009.08.25 Virus.Win32.AutoRun

Jiangmin 11.0.800 2009.08.25 Trojan/VB.mcr

K7AntiVirus 7.10.826 2009.08.24 -

Kaspersky 7.0.0.125 2009.08.25 Worm.Win32.AutoRun.gjm

McAfee 5719 2009.08.24 Generic Packed.c

McAfee+Artemis 5719 2009.08.24 Generic Packed.c

McAfee-GW-Edition 6.8.5 2009.08.25 Heuristic.LooksLike.Win32.Suspicious.L

Microsoft 1.4903 2009.08.25 Worm:Win32/Autorun.UE

NOD32 4364 2009.08.24 a variant of Win32/AutoRun.VB.EW

Norman 2009.08.24 W32/AutoRun.WDN

nProtect 2009.1.8.0 2009.08.25 Trojan/W32.Agent.128000.AO

Panda 10.0.0.14 2009.08.25 -

PCTools 4.4.2.0 2009.08.24 -

Prevx 3.0 2009.08.25 -

Rising 21.44.10.00 2009.08.25 -

Sophos 4.44.0 2009.08.25 Mal/VBAuto-A

Sunbelt 3.2.1858.2 2009.08.25 Trojan.Win32.Generic!BT

Symantec 1.4.4.12 2009.08.25 W32.SillyFDC.BCU

TheHacker 6.3.4.3.387 2009.08.25 -

TrendMicro 8.950.0.1094 2009.08.25 WORM_AUTORUN.CFC

VBA32 3.12.10.10 2009.08.25 -

ViRobot 2009.8.25.1900 2009.08.25 -

VirusBuster 4.6.5.0 2009.08.24 -

Additional information

File size: 128000 bytes

MD5 : b7e9e76123be95464fc668b94269f636

SHA1 : 98fe4793f5f9367d508ae7af63898752fb837446





Entran en cola de monitorizacion para implementar su control y eliminacion en proximas versiones de nuestras utilidades, de lo cual informaremos



Aparte de ello, y visto el tipo de infeccion, vacune su ordenador y pendrives con el ELIPEN:







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 25-8-2009

[Mariansin]

Hola msc,



Ya descargué el elipen.exe cuando comenzó todo esto y el virus del pendrive no lo eliminaba, ¿es una nueva versión lo que me recomiendas que baje o es la misma?



Saludos!

[msc hotline sat]

El ELIPEN es vacuna, para impedir propagacion de virus de este tipo, pero el virus que ya tienes, lo pasaremos a controlar con la version de hoy del ELISTARA 19.12 , que estará disponible a partir de esta tarde.




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 15 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 25-8-2009

[Mariansin]

Estupendo, pues esperaré a esa hora para descargar los archivos, muchísimas gracias por vuestra ayuda!

[msc hotline sat]

Ya hemos subido la nueva version a la web. Descargala, pruebala y nos comentas...



saludos



ms, 26-8-2009

[Mariansin]

Hola msc!



Pues te cuento: pasé el elistara y el infosat salió limpio:



(26-8-2009 9:07:31 (GMT))

EliStartPage v19.12 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 25 de Agosto del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Puse el pendrive que tenía el visitante en el ordenador de mi compañera, le quité la extensión .vir y lo dejé con .exe, al momento salió el aviso de Panda diciendo que había detectado el virus W32/AutoRun.DJ.worm y que lo había desinfectado, por lo que deduzco que Panda ha ampliado su registro de virus en estos días, porque antes ni lo detectaba a pesar de que estaba ahí. Ahora ha desaparecido. Le pasé el elistara al pendrive (el elipen ya lo tenía de antes) y éste es el informe:



(26-8-2009 9:07:39 (GMT))

EliStartPage v19.12 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 25 de Agosto del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 3

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



El archivo en cuestión ha desaparecido del pendrive ¿estoy curada, doctor?



Gracias y saludos!

[msc hotline sat]

Y no has borrado a mano los ficheros de C:\muestras ???



Mira lo que tienes en dicha carpeta y nos lo indicas, gracias



saludos



ms, 26-8-2009

[Mariansin]

En el ordenador de mi compañera no había carpeta de muestras. En el mío sí que había, la que creó inicialmente, y ya he eliminado todo.



¿Se puede decir que ya estoy curada?



Saludos!