Desactivar proteccion contra escritura en memoria USB

Responder
nikocr
Mensajes: 8
Registrado: 29 May 2008, 12:14

Desactivar proteccion contra escritura en memoria USB

Mensaje por nikocr » 29 May 2008, 19:04

Buenas, tengo una memoria USB infectada con el virus "Win32/TrojanDownloader.VB.NOB" UFO.EXE", "Win32/VB.FP" E:\Recycled\INFO.EXE y "Win32/PcClient.WI" E:\RECYCLER\RECYCLER\autorun.exe. Alguno de estos ha modificado el sistema de autoarranque de la memoria protegiéndola contra escritura, lo que hace imposible borrar estos archivos e incluso formatearla. He visto algo referente a este tema pero las soluciones propuestas no me han servido.

Espero que alguien pueda ayudarme, gracias.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por msc hotline sat » 29 May 2008, 19:15

Antes que nada prueba el ELISTARA, y si no detecta y elimina el malware, con las muestras que solicite pasaremos a implementar su control y eliminacion en las proximas versiones de nuestras utilidades, de lo cual informaremos





[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y luego vacuna ordenador y unidades pendrive con el ELIPEN:





ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp





y nos comentas el resultado, gracias



saludos



ms, 29-05-.2008







NOTA: Para enviar muestras, si es el caso:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

nikocr
Mensajes: 8
Registrado: 29 May 2008, 12:14

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por nikocr » 29 May 2008, 22:13

Hola, he testeado el pc y la memoria usb con la aplicación ELISTARA y la memoria usb con ELIPEN, pero no he conseguido gran cosa. No se si habré cometido algún error aunque con el reporte de dichas acciones que genera la aplicación seguro que averiguais algo más. Espero que sea de ayuda, gracias de nuevo.





Thu May 29 21:04:30 2008

EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "TOPI"="C:\Archivos de programa\TOSHIBA\Toshiba Online Product Information\topi.exe -startup"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu May 29 21:05:29 2008

EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Datos\D Toshiba M5\Datos Pendrive\20080316KingTrabajo\Descargas\Utilidades de recuperacion\REGMEDICAL.EXE --> Eliminado, Slurk(dll)

C:\Documents and Settings\Administrador\Escritorio\HTC\Otros\SPB TIME 2.1.5+SERIAL\SPBTIME2.1.5_ES.EXE --> Eliminado, Vundo4

C:\Documents and Settings\Administrador\Escritorio\HTC\Otros\SpbWeather 1.7_setup_es + serial\SPBWEATHER 1.7_SETUP_ES.EXE --> Eliminado, Vundo4

C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 6326

Nº Total de Ficheros: 53985

Nº de Ficheros Analizados: 14993

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5



Thu May 29 21:30:06 2008

EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu May 29 21:30:21 2008

EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 168

Nº Total de Ficheros: 1316

Nº de Ficheros Analizados: 730

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu May 29 21:32:09 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Thu May 29 21:33:02 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por lucl » 29 May 2008, 22:30

Prueba elistara arrancando el pc en modo seguro y veamos el log a ver que ocurre, saludos



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por msc hotline sat » 30 May 2008, 07:11

Efectivamente habia bicho !


[quote]Thu May 29 21:05:29 2008

EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Datos\D Toshiba M5\Datos Pendrive\20080316KingTrabajo\Descargas\Utilidades de recuperacion\REGMEDICAL.EXE --> Eliminado, Slurk(dll)

C:\Documents and Settings\Administrador\Escritorio\HTC\Otros\SPB TIME 2.1.5+SERIAL\SPBTIME2.1.5_ES.EXE --> Eliminado, Vundo4

C:\Documents and Settings\Administrador\Escritorio\HTC\Otros\SpbWeather 1.7_setup_es + serial\SPBWEATHER 1.7_SETUP_ES.EXE --> Eliminado, Vundo4

C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd[/quote]


Pero el informe relativo al ELIPEN indica que no se puede escribir en esta unidad de pendrive:



Thu May 29 21:33:02 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



[b][i]Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger[/i]
[/b]






[u]No será de los que tienen una pestaña para impedir escritura ???[/u]



Y EXPLORA con el ELISTARA esta unidad E: colocando en ella dicho pendrive, a ver si por lo menos sí que se puede ver lo que hay dentro, y en tal caso veamos que no tenga dentro el Tool-NirCmd, herramienta de hacker que apareció en el disco duro (Y EL ELISTARA HA ELIMINADO) , lo cual daría pie a considerar hipótesis al respecto...



Posteenos el infosat tras ello, gracias



saludos



ms, 30-05-2008

nikocr
Mensajes: 8
Registrado: 29 May 2008, 12:14

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por nikocr » 30 May 2008, 10:38

Buenos días, he iniciado en modo seguro y al escanear la unidad E: con ELISTARA me ha detectado un virus (archivo UFO.EXE) en el autoarranque de la memoria. Este es el reporte del archivo InfoSat:



Fri May 30 10:17:03 2008

EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri May 30 10:17:51 2008

EliStartPage v16.39 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 29 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\UFO.EXE --> Acceso Denegado, AutoRun.HT (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 168

Nº Total de Ficheros: 1316

Nº de Ficheros Analizados: 733

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



La memoria no tiene llave física de protección contra escritura y por más que miro tampoco veo ninguna aplicación que actúe como llave lógica.

Muchas gracias, seguiremos en la brecha. Un saludo

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por lucl » 30 May 2008, 13:58

Supongo que reiniciaste para terminar limpieza no? y te dio acceso denegado otra vez? comentanos, saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por msc hotline sat » 30 May 2008, 14:07

Dinos si este pendrive tiene AUTORUN.INF (logicamente con atributos de oculto !)



Y si el ELIPEN no ha podido crear carpetas de proteccion ni el ELISTARA ha podido eliminar el fichero, alguna proteccion hay... diganos si tiene AUTORUN.INF y en su caso posteenos su contenido.



saludos



ms, 30-05-2008

nikocr
Mensajes: 8
Registrado: 29 May 2008, 12:14

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por nikocr » 31 May 2008, 13:50

Hola, tras el escaneo con ELISTARA, reinicie la máquina y todo sigue igual. he buscado el archivo autorun.inf pero no lo encuentro, pese a que tengo habilitada las casillas de mostrar archivos ocultos, archivos de sistemas y extesiones de archivos. Lo extraño es que hoy he vuelto a escanear la memoria con ELISTARA y no detecta nada, sin embargo con el antivirus sí. Tengo instalado SP2, supongo que es compatible con ELISTARA, no?

Un saludo

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por lucl » 31 May 2008, 14:07

Si claro, son compatibles en eso no hay ningun problema , saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por msc hotline sat » 01 Jun 2008, 11:18

Y si dices que el antivirus te detecta algo que el ELiSTARA no, prueba el ELITRIIP, pues no todos los virus de pendrive se controlan con el ELISTARA, solo los troyanos, pero nos gusanos lo hace el ELITRIIP


[quote="para DESCARGAR el ELITRIIP, msc"] http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]




y en cualquier caso, envianos muestra para analizar del fichero que te detecta dicho antivirus, gracias



saludos



ms, 1-06-2008

nikocr
Mensajes: 8
Registrado: 29 May 2008, 12:14

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por nikocr » 01 Jun 2008, 13:09

Hola, he escaneado la unidad local y la memoria usb con ELITRIIP y no ha detectado nada. Os mando el reporte para que veais. Cuando escanee por primera vez con ELISTARA si que detecto el virus de hecho limpió 5 en la unidad local y detecto uno en la memoria usb que no pudo limpiar, pero ahora no lo detecta.



Sun Jun 01 12:25:37 2008

EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sun Jun 01 12:26:09 2008

EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 168

Nº Total de Ficheros: 1316

Nº de Ficheros Analizados: 560

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Jun 01 12:26:39 2008

EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sun Jun 01 12:27:00 2008

EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7187

Nº Total de Ficheros: 57370

Nº de Ficheros Analizados: 15023

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Os he mandado el archivo que tiene el virus, se llama UFO.EXE.

Gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por msc hotline sat » 01 Jun 2008, 13:37

Mañana lo analizaremos cuando volvamos al trabajo en SATINFO.



Si quieres subelo al virustotal y nos posteas el resultado:



https://www.virustotal.com/es/



Y si lo detectan varios antivirus, procede a renombrar su extension, si te deja, a .VIR y asi no se podrá ejecutar.



saludos



ms, 1-06-2008

nikocr
Mensajes: 8
Registrado: 29 May 2008, 12:14

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por nikocr » 01 Jun 2008, 14:47

Hola, antes cometí un error, pase ELITRIIP arrancando normalmente, ahora he arrancado en modo seguro y lo he vuelto a hacer, si que lo detecta y hace lo mismo que ELISTARA, lo quita de la unidad local pero no puede quitarlo de la memoria usb. Este es el reporte:



Sun Jun 01 14:22:20 2008

EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sun Jun 01 14:22:28 2008

EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\RECYCLER\RECYCLER\autorun.exe --> Acceso Denegado, BackDoor.CKB (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 162

Nº Total de Ficheros: 1262

Nº de Ficheros Analizados: 508

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



Sun Jun 01 14:23:08 2008

EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sun Jun 01 14:23:12 2008

EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\OfcpfwSvcs.exe --> Eliminado, BackDoor.CKB



Nº Total de Directorios: 7199

Nº Total de Ficheros: 58380

Nº de Ficheros Analizados: 15187

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1





Ya he probado a cambiar el nombre del fichero he incluso a borrarlos, pero no me permite hacer nada, al igual que a los antivirus que le he pasado, pues siempre dice que está protegido contra escritura.

Bueno hablamos mañana que vaya fin de semana que os estoy dando. Un saludo.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por msc hotline sat » 01 Jun 2008, 17:58

Del ordenador (unidad C:) ya ha eliminado el Backdoor CKB



Pruebe el ELIPEN para procesar el pendrive, y al menos asi no se activará automaticamente el malware: (hagalo igualmente en modo segur0)


[quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]


y si le dice que no se puede proteger, señal que está protegida por algun otro método no virico...



Cuentenos el resultado, gracias



saludos



ms, 1-06-2008

nikocr
Mensajes: 8
Registrado: 29 May 2008, 12:14

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por nikocr » 01 Jun 2008, 21:28

Hola, he escaneado la memoria con ELIPEN y me dice que no puede protegerla. Este es el reporte.



Sun Jun 01 20:58:40 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



He intentado abrir la consola de politicas de seguridad el equipo (secpol.msc) y no me deja

dice que no puede encontrar el archivo.

Con que aplicación se puede ver el código de un ejecutable de un modo legible?

He probado con el notepad pero salen símbolos extraños.

Gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por msc hotline sat » 02 Jun 2008, 06:09

Pruebe si con otro pendrive el ELIPEN puede vacunarlo, y asi sabremos si es problema del pendrive o del ordenador, y nos comenta el resultado, gracias



saludos



ms, 2-06-1008

nikocr
Mensajes: 8
Registrado: 29 May 2008, 12:14

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por nikocr » 03 Jun 2008, 12:33

Hola, he escaneado otra memoria USB con ELIPEN desde el mismo Pc y la ha protegido correctamente. Este es el reporte:



Tue Jun 03 12:25:37 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad I:\ Protegida





He visto en una versión anterior de elistara (14.79) si no me equivoco que tiene la actualización para el virus que afecta mi memoria, UFO.EXE (AutoRun.HT) si mal no recuerdo. Sería posible descargar esa version y probar con ella? o las versiones posteriores ya contienen todas las vacunas anteriores?

Gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Desactivar proteccion contra escritura en memoria USB

Mensaje por msc hotline sat » 03 Jun 2008, 13:14

Un mismo nombre de fichero puede contener cosas distintas...



Pero lo que le interesa saber es que en cada nueva version viene implementado lo anterior, esto es, son acumulativas, así que la actual 16.41 contempla lo integrado en las 1640 anteriores.



Y siempre se ha de probar la última disponible en el foro !!!



saludos



ms, 3-06-2008



NOTA: Y al actuar bien con otro pendrive, señal que es un defecto o "caracteristica" de este pendrive problemático. ms.

Responder

Volver a “Foro Virus - Cuentanos tu problema”