Desactivar proteccion contra escritura en memoria USB

[nikocr]

Buenas, tengo una memoria USB infectada con el virus "Win32/TrojanDownloader.VB.NOB" UFO.EXE", "Win32/VB.FP" E:\Recycled\INFO.EXE y "Win32/PcClient.WI" E:\RECYCLER\RECYCLER\autorun.exe. Alguno de estos ha modificado el sistema de autoarranque de la memoria protegiéndola contra escritura, lo que hace imposible borrar estos archivos e incluso formatearla. He visto algo referente a este tema pero las soluciones propuestas no me han servido.
Espero que alguien pueda ayudarme, gracias.

[msc hotline sat]

Antes que nada prueba el ELISTARA, y si no detecta y elimina el malware, con las muestras que solicite pasaremos a implementar su control y eliminacion en las proximas versiones de nuestras utilidades, de lo cual informaremos


ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


y luego vacuna ordenador y unidades pendrive con el ELIPEN:


ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp


y nos comentas el resultado, gracias

saludos

ms, 29-05-.2008



NOTA: Para enviar muestras, si es el caso:

ENVIO DE MUESTRAS Y ELIMINACION DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253

[nikocr]

Hola, he testeado el pc y la memoria usb con la aplicación ELISTARA y la memoria usb con ELIPEN, pero no he conseguido gran cosa. No se si habré cometido algún error aunque con el reporte de dichas acciones que genera la aplicación seguro que averiguais algo más. Espero que sea de ayuda, gracias de nuevo.


Thu May 29 21:04:30 2008
EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Entrada Eliminada [HKLM\...\Run] "TOPI"="C:\Archivos de programa\TOSHIBA\Toshiba Online Product Information\topi.exe -startup"
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Thu May 29 21:05:29 2008
EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek
C:\Datos\D Toshiba M5\Datos Pendrive\20080316KingTrabajo\Descargas\Utilidades de recuperacion\REGMEDICAL.EXE --> Eliminado, Slurk(dll)
C:\Documents and Settings\Administrador\Escritorio\HTC\Otros\SPB TIME 2.1.5+SERIAL\SPBTIME2.1.5_ES.EXE --> Eliminado, Vundo4
C:\Documents and Settings\Administrador\Escritorio\HTC\Otros\SpbWeather 1.7_setup_es + serial\SPBWEATHER 1.7_SETUP_ES.EXE --> Eliminado, Vundo4
C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd

Nº Total de Directorios: 6326
Nº Total de Ficheros: 53985
Nº de Ficheros Analizados: 14993
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados: 5

Thu May 29 21:30:06 2008
EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Thu May 29 21:30:21 2008
EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios: 168
Nº Total de Ficheros: 1316
Nº de Ficheros Analizados: 730
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu May 29 21:32:09 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Error Creando TEST2.SAT
Unidad E:\ No se Pudo Proteger

Thu May 29 21:33:02 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Error Creando TEST2.SAT
Unidad E:\ No se Pudo Proteger

[lucl]

Prueba elistara arrancando el pc en modo seguro y veamos el log a ver que ocurre, saludos

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[msc hotline sat]

Efectivamente habia bicho !

Thu May 29 21:05:29 2008
EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek
C:\Datos\D Toshiba M5\Datos Pendrive\20080316KingTrabajo\Descargas\Utilidades de recuperacion\REGMEDICAL.EXE --> Eliminado, Slurk(dll)
C:\Documents and Settings\Administrador\Escritorio\HTC\Otros\SPB TIME 2.1.5+SERIAL\SPBTIME2.1.5_ES.EXE --> Eliminado, Vundo4
C:\Documents and Settings\Administrador\Escritorio\HTC\Otros\SpbWeather 1.7_setup_es + serial\SPBWEATHER 1.7_SETUP_ES.EXE --> Eliminado, Vundo4
C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd

Pero el informe relativo al ELIPEN indica que no se puede escribir en esta unidad de pendrive:

Thu May 29 21:33:02 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Error Creando TEST2.SAT
Unidad E:\ No se Pudo Proteger


No será de los que tienen una pestaña para impedir escritura ???

Y EXPLORA con el ELISTARA esta unidad E: colocando en ella dicho pendrive, a ver si por lo menos sí que se puede ver lo que hay dentro, y en tal caso veamos que no tenga dentro el Tool-NirCmd, herramienta de hacker que apareció en el disco duro (Y EL ELISTARA HA ELIMINADO) , lo cual daría pie a considerar hipótesis al respecto...

Posteenos el infosat tras ello, gracias

saludos

ms, 30-05-2008

[nikocr]

Buenos días, he iniciado en modo seguro y al escanear la unidad E: con ELISTARA me ha detectado un virus (archivo UFO.EXE) en el autoarranque de la memoria. Este es el reporte del archivo InfoSat:

Fri May 30 10:17:03 2008
EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Fri May 30 10:17:51 2008
EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
E:\UFO.EXE --> Acceso Denegado, AutoRun.HT (Reiniciar para Completar la Limpieza)

Nº Total de Directorios: 168
Nº Total de Ficheros: 1316
Nº de Ficheros Analizados: 733
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0

La memoria no tiene llave física de protección contra escritura y por más que miro tampoco veo ninguna aplicación que actúe como llave lógica.
Muchas gracias, seguiremos en la brecha. Un saludo

[lucl]

Supongo que reiniciaste para terminar limpieza no? y te dio acceso denegado otra vez? comentanos, saludos

[msc hotline sat]

Dinos si este pendrive tiene AUTORUN.INF (logicamente con atributos de oculto !)

Y si el ELIPEN no ha podido crear carpetas de proteccion ni el ELISTARA ha podido eliminar el fichero, alguna proteccion hay... diganos si tiene AUTORUN.INF y en su caso posteenos su contenido.

saludos

ms, 30-05-2008

[nikocr]

Hola, tras el escaneo con ELISTARA, reinicie la máquina y todo sigue igual. he buscado el archivo autorun.inf pero no lo encuentro, pese a que tengo habilitada las casillas de mostrar archivos ocultos, archivos de sistemas y extesiones de archivos. Lo extraño es que hoy he vuelto a escanear la memoria con ELISTARA y no detecta nada, sin embargo con el antivirus sí. Tengo instalado SP2, supongo que es compatible con ELISTARA, no?
Un saludo

[lucl]

Si claro, son compatibles en eso no hay ningun problema , saludos

[msc hotline sat]

Y si dices que el antivirus te detecta algo que el ELiSTARA no, prueba el ELITRIIP, pues no todos los virus de pendrive se controlan con el ELISTARA, solo los troyanos, pero nos gusanos lo hace el ELITRIIP

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y en cualquier caso, envianos muestra para analizar del fichero que te detecta dicho antivirus, gracias

saludos

ms, 1-06-2008

[nikocr]

Hola, he escaneado la unidad local y la memoria usb con ELITRIIP y no ha detectado nada. Os mando el reporte para que veais. Cuando escanee por primera vez con ELISTARA si que detecto el virus de hecho limpió 5 en la unidad local y detecto uno en la memoria usb que no pudo limpiar, pero ahora no lo detecta.

Sun Jun 01 12:25:37 2008
EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

Sun Jun 01 12:26:09 2008
EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios: 168
Nº Total de Ficheros: 1316
Nº de Ficheros Analizados: 560
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sun Jun 01 12:26:39 2008
EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

Sun Jun 01 12:27:00 2008
EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7187
Nº Total de Ficheros: 57370
Nº de Ficheros Analizados: 15023
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Os he mandado el archivo que tiene el virus, se llama UFO.EXE.
Gracias

[msc hotline sat]

Mañana lo analizaremos cuando volvamos al trabajo en SATINFO.

Si quieres subelo al virustotal y nos posteas el resultado:

http://www.virustotal.com/es

Y si lo detectan varios antivirus, procede a renombrar su extension, si te deja, a .VIR y asi no se podrá ejecutar.

saludos

ms, 1-06-2008

[nikocr]

Hola, antes cometí un error, pase ELITRIIP arrancando normalmente, ahora he arrancado en modo seguro y lo he vuelto a hacer, si que lo detecta y hace lo mismo que ELISTARA, lo quita de la unidad local pero no puede quitarlo de la memoria usb. Este es el reporte:

Sun Jun 01 14:22:20 2008
EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

Sun Jun 01 14:22:28 2008
EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
E:\RECYCLER\RECYCLER\autorun.exe --> Acceso Denegado, BackDoor.CKB (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 162
Nº Total de Ficheros: 1262
Nº de Ficheros Analizados: 508
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0

Sun Jun 01 14:23:08 2008
EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

Sun Jun 01 14:23:12 2008
EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\OfcpfwSvcs.exe --> Eliminado, BackDoor.CKB

Nº Total de Directorios: 7199
Nº Total de Ficheros: 58380
Nº de Ficheros Analizados: 15187
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1


Ya he probado a cambiar el nombre del fichero he incluso a borrarlos, pero no me permite hacer nada, al igual que a los antivirus que le he pasado, pues siempre dice que está protegido contra escritura.
Bueno hablamos mañana que vaya fin de semana que os estoy dando. Un saludo.

[msc hotline sat]

Del ordenador (unidad C:) ya ha eliminado el Backdoor CKB

Pruebe el ELIPEN para procesar el pendrive, y al menos asi no se activará automaticamente el malware: (hagalo igualmente en modo segur0)

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y si le dice que no se puede proteger, señal que está protegida por algun otro método no virico...

Cuentenos el resultado, gracias

saludos

ms, 1-06-2008