virus modifica ejecutables (SOLUCIONADO)

[nelsonnolasco]

hola de nuevo! les comento que hace 4 dias me regalaron un pc ya viejito que ya traia windows xp home edition instalado pero sin ninguna proteccion de antivirus ni antispyware nada.... cuando la instale note que estaba demasiado lenta y que no cargaba internet y supuse que se trataba de virus y como no tenia nada muy importante en la pc decidi formatearla e instalar nuevamente el windows xp.... cuando lo volvi a instalar me iba mucho mejor y si cargaba todo, intente instalar el nod32 pero no pude porque se reiniciaba sola, solo pude instalar el malwarebytes hice un analisis completo y no encontro nada, descargue el EliStarA y no lo pude utilizar porque me sale:



Archivo modificado, posiblemente por un virus

contacte con satinfo.



y he notado tambien la carpeta recycler adentro estan estos numero: S-1-5-21-57989841-152049171-1060284298-1004 :?:

bueno espero poder recibir su ayuda, muchas gracias.

[msc hotline sat]

Pues parece que tienes dos frentes, el virus modificador de ejecutables y un troyano que se propaga por pendrive, el que se oculta en el RECYCLER.



Podría ser el mismo, pues hoy en día muchos virus, ademas de hacer su funcion, se propagan por pendrive, como el Conficker, pero que haya modificado el ELISTARA no es propio de éste último, asi que haga dos cosas, envienos este ELISTARA.EXE modificado y asi veremos de qué virus se trata, y aparte arranque en MODO SEGURO CON FUNCIONES DE RED, descargue el ELISTARA de nuevo y lancelo en dicho modo, a ver si asi no se carga el bicho y no infecta el ELISTAR y puede terminar el analisis



Pero antes envienos el ELISTARA infectado, o copielo en carpeta aparte, para no machacarlo con el de la nueva descarga :







>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 16-12-2010

[nelsonnolasco]

hola de nuevo! bueno hice lo que me pidieron, volvi a descargar el Elistara y me volvio aparecer lo mismo, pero eso me sucede al ejecutarlo como administrador y asi nomas no pasa esto, cuando lo ejecute me elimino en troyano este es el log:



(17-12-2010 04:12:30 (GMT))

EliStartPage v22.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 16 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(17-12-2010 04:15:12 (GMT))

EliStartPage v22.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 16 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 796

Nº Total de Ficheros: 10001

Nº de Ficheros Analizados: 5669

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



tambien descargue el sproces y me ocurrio lo mismo al ejecutarlo como administrador y no ejecutandolo "normal" les dejo el log que genero aunque no me lo hayan pedido pero espero talves aportarles un poco mas de informacion con esto:



(17-12-2010 04:42:13 GMT)

SProces v4.9 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 1

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v6.0.2800.1106) ;SP1;

Nombre Equipo: NELSON

Nombre Usuario: NLSN



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\DEVICEHELPER\DEVICEMANAGER.EXE

C:\ARCHIVOS DE PROGRAMA\MALWAREBYTES' ANTI-MALWARE\MBAMSERVICE.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\MALWAREBYTES' ANTI-MALWARE\MBAMGUI.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\WINDOWS\SYSTEM32\WPABALN.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

C:\ARCHIVOS DE PROGRAMA\TREND MICRO\HIJACKTHIS\HIJACKTHIS.EXE

C:\DOCUMENTS AND SETTINGS\NLSN\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\cmuda.sys (de 812416 bytes) () C-Media Inc

WinSys\Drivers\dmboot.sys (de 781440 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 407552 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 561920 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: DeviceManager - Unknown owner - C:\Archivos de programa\Archivos comunes\DeviceHelper\DeviceManager.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: MBAMProtector - Malwarebytes Corporation - C:\WINDOWS\System32\drivers\mbam.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Modem Interface USB Device for Legacy Serial Communication (qcusbser) - TCT International Mobile Ltd - C:\WINDOWS\SYSTEM32\DRIVERS\qcusbser.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: SiS300i - Silicon Integrated Systems Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sis300ip.sys

O23 - Service: Controlador de adaptador Fast Ethernet SiS PCI (SISNIC) - SiS Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisnic.sys

O23 - Service: SiS PCI Fast Ethernet Adapter Driver for NDIS51 (SISNICXP) - SiS Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sisnicxp.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



15 Servicios.

3 de Carga Automatica.

9 de Carga Manual.

3 Deshabilitados.



ojala esto les sirva de ayuda. gracias de antemano

[msc hotline sat]

Pues está claro que tienes muchos agujeros de seguridad por los que pueden reinfectar los malwares:



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 1



Parche MS08-067 (Servicio Servidor) NO Instalado.



Internet Explorer: (v6.0.2800.1106) ;SP1;





Te faltan mas de 1000 parches... entre ellos los 1027 del SP3 y el tan importante contra en Conficker



Y el IE6 ya está obsoleto y Microsoft no parche sus vulnerabilidades. Debe navegar con el IE 8



Para ello lance un Windowsupdate e instale los parches pendientes y actualizaciones del IE.



Tras ello lance de nuevo el ELISTARA y posteenos el informe resultante.



saludos



ms, 17-12-2010

[nelsonnolasco]

hola de nuevo! he tratado de actualizar mi windows pero no he podido porque el windows update no me descarga las actualizaciones solo llega al 5% y ya no sigue descargando ya tiene asi como 5 dias, tampoco he podido instalar ningun antivirus cuando lo intento se reinicia solo, intente instalar el SpywareBlaster y tambien sucede que se reinicia...

trate de actualizar el internet explorer a la version reciente y me aparece un cuadro que dice esto:



no se encuentra el punto de entradas del procedimiento SHRegGetValueW en la biblioteca de vinculos dinamicos SHLWAPI.dll.



y otra cosa que no me agrado fue que baje el service pack 2 para instalarlo y otra vez lo mismo mi pc se reinicia :shock:



nose que esta pasandole a mi pc :( ..... bueno muchas gracias de nuevo espero poder recivir su ayuda :D

[msc hotline sat]

Y en el log no se ve nada anormal, pero tampoco vemos que el ELISTARA se haya modificado ahora, asi que lo de virus infector de ejecutables igual ya no está...



Pues por lo que dices, puedes tener dañado el sistema operativo, lanza UNA REPARACION DE SISTEMA:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

Luego actualiza !!!



Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 1

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v6.0.2800.1106) ;SP1;





Has de instalar un monton de parches !!! primero el SP2, para luego lanzar un windowsupdate e instalar los demas y actualizar el IE a la version 8, sin ello estas lleno de agujeros de seguridad .





saludos



ms, 28-12-2010

[nelsonnolasco]

hola! bueno hice todo como me lo pidio y ya logre instalar el sp2 y tambien actualice el internet explorer a la version 8, estoy instalando las actualizaciones pendientes y todo eso..... todo iva bien hasta que me puse a instalar un antivirus (nod32), ya casi al finalizar la instalacion salio un cuadro que decia algo asi como que habia ocurrido un error y que debia cerrarse que la instalacion no podia continuar... me pidio reiniciar y asi lo hice, cuando volvio ha encenderce el antivirus si estaba instalado pero no funcionaba para nada al ejecutarlo decia: Ha ocurrido un error al comunicarse con el kernel, trate de repararlo con el archivo de instalacion pero dice que "el instalador no tiene suficientes privilegios para modificar este archivo: ppeset.dll"... este solo es uno de los archivos que ahi dice pero son como 50 otros archivos...... despues de todo eso intente con el AVG y paso lo mismo solo que el AVG no se instalo para nada.

lo del Elistara y el Sproces todavia sigue: "archivo modificado probablemente por un virus"



Pd: intente desinstalar el nod32 con el Revo Uninstaller pero no aparece en la lista de programas

[msc hotline sat]

Pues parecía que ya habóas podido ejecutar dichos ficheros, pero si no es así, y te dicen:



[b][i]lo del Elistara y el Sproces todavia sigue: "archivo modificado probablemente por un virus"[/i][/b]



Entonces envianos dichos ficheros, a ver qué es lo que ha cambiado para indicar dicho mensaje, igual sí que es una modificación hecha por un virus no controlado ???





Tras recibir estos dos ELISTARA.EXE y SPROCES.EXE modificados, los analizaremos e informaremos del resultado.



saludos



ms, 30-12-2010

[nelsonnolasco]

hola! he mandado los archivos, lo que quiero aclarar es que dicho mensaje "Archivo modificado, posiblemente por un virus

contacte con satinfo." , solo aparece al ejecutarlos como administrador y no como "usuario normal" por decirlo asi... si puedo usar el programa asi nomas al darle doble click pero no usarlo como administrador.

[msc hotline sat]

Pues gracias por indicarnoslo, no es normal ni lógico, ya que el checksum lo comprueba siempre y el fichero no cambia por ejecutarlo de una u otra forma... Lo probaremos de ambas formas a ver si encontramos la causa y si asi tratamos de solucionarlo.



Cuando entremos a trabajar esta mañana en SATINFO, lo veremos e informaremos



saludos



ms, 31-12-2010

[msc hotline sat]

Recibidos los ficheros, comprobamos que tanto con Boton derecho y EJECUTAR COMO ADMINISTRADOR, como en modo normal, no da dicho mensaje.



Solo en Windows 7 si no se ejecuta como Administrador, ofrece el mensaje ESTA APLICACION HA SIDO EJECUTADA CON PERMISOS LIMITADOS ...



Lo que le sucede es raro, pero no por causa vírica, ni por la utilidad, que funciona correctamente



Buscando explicaciones, pensamos que podría darse el caso de que saliera el mensaje de haber sido modificado, si no pudiera leer el fichero en cuestion, pero en tal caso tampoco podría ejecutarlo ...



Pero en XP, salvo que esta maquina no tuviera derechos, no hace falta arrancar como Adminsitrador,... No será que esta máquina no tiene privilegios ???



En cualquier caso, ni está modificada la utilidad ni infectada y funciona correctamente.



Otorgue derechos a este usuario si no tiene, e informenos del resultado, gracias



saludos



ms, 31-12-2020

[nelsonnolasco]

hola de nuevo! bueno en verdad no se como hacer para otorgar derechos a mi maquina si es que no los tengo, yo soy el unico usuario y quizas cuando instale windows me hizo falta algo... me puedes explicar como hacer si no es mucha molestia por favor.



pd: todavia sigue el mismo mensaje y cuando ejecute elistara en modo seguro me dijo un mensaje algo asi no me recuerdo bien "el archivo asociado a la aplicacionno funciona" bueno no exactamente asi por que no me recuerdo bien pero algo asi era.

[msc hotline sat]

Para que tengas derechos de administrador, entra en Panel de Control y pones tu usuario en la cuenta (grupo) Administrador, pero dado lo que ahora dices al final, nos inclinamos a que puedes tener problemas con las memorias... Mira de intercambiarlas por las de otro equipo similar para hacer la prueba, y si asi te funciona, ya sabes que has de cambiarlas.



Y nos informas del resultado, gracias



saludos



ms, 10-1-2011

[nelsonnolasco]

hola! al fin se soluciono el problema del elistara y sproces, usando windows update instale service pack 3, borre todo lo que tenia que ver con el elistara, descargue la nueva actualizacion de la utilidad y la ejecute como administrador (ya tenia los derechos otorgados a mi usuario asi que no cambie nada) y sorpresa :shock: me funciono a la perfeccion aunque no encontro nada ya funciona bien sin mensaje :D el sproces igual ya corre bien.....



tambien solucione lo del nod32 lo que yo creo que causaba el problema era la baja memoria ram de la maquina por que al usar otra memoria con mas capacidad si funciono bien y ya no hay ningun mensaje de error de parte del antivirus :wink:



bueno creo que eso es todo ya se puede dar por solucionado el tema, muchas gracias por su ayuda y la paciencia al a hora de ayudarme. espero que sigan asi :wink: , gracias de nuevo.



saludos.

[msc hotline sat]

Pues entre la falta de parches y la memoria, tu ordenador andaba cojo...



Pero ya corregidas las anomalías, parece que todo anda sobre ruedas, pues lo celebramos y dando el Tema por solucionado, procedemos a cerrarlo



SI nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 11-1-2011