Virus Recycler

[Puner]

Buenas a todos,

Tengo un problema con algun tipo de virus en mi ordenador y creo k debe ser alguna nueva version del recycler. Llevo un par de dias dando vueltas por foros y no encuentro ninguna solucion al problema. Me pasan varias cosas, xo yo creo k debe ser por el mismo virus.

De primeras no me dejaba acceder a mi disco duro c:\ y me salia el siguiente mensaje "Windows no puede encontrar el archivo 'RECYCLER\S-8-4-47-100027802-100025572-100024450-2554.com'. Asegurese de que la ruta y el nombre del archivo están escritos correctamente y vuelva a intentarlo. Para buscar un archivo, haga clic en el botón Inicio y luego en Buscar". Este error ya lo solucione con un programas k encontre en otra pagina (OTMoveIt3.exe), no se muy bien lo k acian... xo me lo a solucionado.

Luego tampoco me deja ni actualizar mi antivirus (Nod32), ni pasar otros antivirus online como karpeski... me falla en la parte de actulizacion. Tampoco me deja entrar a la pagina de windows update, cuando intento entrar me redirecciona a la de google.

Tampoco me deja crear un punto de restauracion, me dice k tengo k reiniciar el sistema para poder crearlo. He probado reiniciando el ekipo y parando y arrancando el proceso desde windows y me sigue dando el mismo mensaje.

Y finalmente tambien me sale un mensaje como si no estubieran activdas las actualizaciones automaticas de winsows ( el tipico aspa rojo k sale en la barra de incio), pero si me meto en actulizaciones automaticas si k esta activado. Aunk este ultimo problema parece k lo solucione metiendo este codigo k vi en una pagina en el menu de ejecutar: [b]regsvr32 wuaueng.dll[/b]



He solucionado un par de cosillas... xo creo k el virus sigue ai y k todos los problemas es de lo mismo, ya k esto me empezo a pasar ayer y todo a la vez. He probado un codigo para desactivar recycler cambiandole el nobre de la carpeta desde msdos y luego borrando, supongo k sabreis a lo k me refiero. Tambien e probado en modo seguro pasandole antivirus, malware, ccleaner, etc.



Os agradeceria muxo kme ayudarais xk me estoy volviendo loco,

Un saludo.

[msc hotline sat]

Esta ruta es erronea:



'RECYCLER\S-8-4-47-100027802-100025572-100024450-2554.com'



Tras la primera carpeta y el nombre de la class ha de figurar el combre del fichero infectado, y en su defecto indica class y .com juntos, no es correcto



De todas formas la intencion es propia de los virus de pendrive. Vacuna el ordenador y pendrives con el ELIPEN:





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 5-2-2009

[Puner]

Se me abia olvidao ponerlo, tambien use el elipen para proteger mi pendrive y el ordenador... xk lo abia leido en otro post de este foro. Este es el resuldado del arxivo infosat.txt despues de aber reiniciado:



Thu Feb 05 12:30:53 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Thu Feb 05 12:31:33 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad K:\ Protegida



Por cierto despues de reiciar el ekipo me vuelve a salir el problema de k las actualizaciones no estan activadar y mi ekipo esta desprotegido. Asik lo unico k solucione es lo de acceder a C:\ es el unico error k no me sale ya.



P.D: Antes de ver este foro y usar el elipen, use otro progama llamado Flash_Disinfector y me kito la carpeta recycler del pendrive k tenia infectado, supongo k con esto ya no se propagara a otros ordenadores.



Un saludo.

[msc hotline sat]

Por si fuera alguna variante controlada, prueba el ELISTARA:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



Ya no te infectaras via pendrive, pero claro, via IP, corre, navegacion etc, puedes ingresar uno de estos virus y ser debido a ellos...



saludos



ms, 5-2-2009

[Puner]

Pensaba k el recycler solo se podia propagar por los pendrive. He exo lo k me as dixo con el elistara, pero me sigue dando el mismo problema... no me deja entrar al windows update ni desde IE ni desde Firefox. Aki esta el arxivo.





Thu Feb 05 13:57:02 2009

EliStartPage v17.94 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\PNP\AUDIO\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\PNP\AUDIO\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Program Files\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\DRVSTORE\hdart_C71723100C9B1362CA9E28BC0C6DB02E6CB8385E\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 6426

Nº Total de Ficheros: 73215

Nº de Ficheros Analizados: 20939

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

[msc hotline sat]

A ver, mejor que uses el navegador de Microsoft, para lanzar un windowsupdate : Internet Explorer



y ya que no hay nada significartivo en este infosat, prueba el SPROCES y posteanos COMPLETO el c:\sproclog.txt resultante





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 5-2-2009

[Puner]

Ante todo gracias por la ayuda, aki os envio el arxivo completo... ocupa mazo y no me deja postearlo ask adjunto el arxivo.

[msc hotline sat]

SACANDO LAS LINEAS CENTRALES DEL SPYBOT, el SPROCLOG queda asi:



Thu Feb 05 15:58:46 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: ISRAEL

Nombre Usuario: Isra



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAM FILES\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE

C:\PROGRAM FILES\NOD32\NOD32KUI.EXE

C:\WINDOWS\SYSTEM32\TMCONTROLLER.EXE

C:\WINDOWS\EHOME\EHTRAY.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\WINDOWS\SYSTEM32\VBOHOST.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\PROGRAM FILES\COMMON FILES\NERO\LIB\NMINDEXSTORESVR.EXE

C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\EPSON\EPW!3 SSRP\E_S30RP1.EXE

C:\PROGRAM FILES\NERO\NERO8\NERO BACKITUP\NBSERVICE.EXE

C:\PROGRAM FILES\NOD32\NOD32KRN.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\IOCTLSVC.EXE

C:\WINDOWS\SYSTEM32\PNKBSTRA.EXE

C:\WINDOWS\SYSTEM32\PNKBSTRB.EXE

C:\PROGRAM FILES\COMMON FILES\NERO\LIB\NMINDEXINGSERVICE.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

C:\DOCUMENTS AND SETTINGS\ISRA\DESKTOP\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.as.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 http://www.007guard.com



O1 - Hosts: 127.0.0.1 zyban-zocor-levitra.com

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_S5D4.tmp" /EF "HKCU"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Nod32\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [TMController] C:\WINDOWS\system32\TMController.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Application Booster] vbohost.exe

O4 - HKLM\..\RunServices: [Application Booster] vbohost.exe

O4 - Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetection_3_0_3_1.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - file:///C:/DRIVERS/snapsys/HDDDiag/bin/npseatools.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

**O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Nod32\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

**O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: AF9015 BDA Filter (AF15BDA) - AfaTech - C:\WINDOWS\SYSTEM32\Drivers\AF15BDA.sys

O23 - Service: PPdus ASPI Shell (Afc) - Arcsoft, Inc. - C:\WINDOWS\SYSTEM32\drivers\Afc.sys

O23 - Service: ddsxeiservice2 (ddsxeiservice) - Unknown owner - C:\Juegos\sXe Injected\ddsxei.sys

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: driverhardwarev2 - Ma-Config.com - C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys

O23 - Service: VIA Rhine-Family Fast Ethernet Adapter Driver Service (FETND5BV) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5bv.sys

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: Netgroup Packet Filter (NPF) - CACE Technologies - C:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: PnkBstrK - Unknown owner - C:\WINDOWS\system32\drivers\PnkBstrK.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



27 Servicios.

10 de Carga Automatica.

16 de Carga Manual.

1 Deshabilitados.



el cual paso a analizar...





Pues envianos estos fciheros para analizar:



Pues envianos estos ficheros sospechosos para analizar:



C:\WINDOWS\SYSTEM32\VBOHOST.EXE



C:\WINDOWS\system32\drivers\PnkBstrK.sys







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 5-2-2009

[Puner]

Ya os envie los fixeros k me indicasteis. Soy nuevo y no se si os lo he enviado como keriais, si hubiera algun problema me lo notificais y los vuelvo a enviar. Los mande directamente desde envio de muestras, ya k no e entendido muy bien lo de comprimir y enviar. espero k asi sirva



1 saludo.

[Puner]

Tambien la envie comprimida en .rar por si acaso....

[msc hotline sat]

Pues mañana tras entrara a trabajar en SATINFO, espero que los hayamos recibido y pasaremos a analizarlos, monitorizarlos si se detectan rutinas sospechosas, y ver lo que hacen para deshacerlo con nuevas versiones de nuestras utilidades, de lo cual informaremos



saludos



ms, 5-2-2009

[Puner]

Hola,

solo keria preguntar si abiais recibido mis arxivos correctamente, para analizarlos... si no os lo envio otra vez.



Gracias,

Saludos.

[msc hotline sat]

El fichero .SYS es un driver normal, pero el EXE es un gusano que pasamos a controlar con el ELITRIIP de hoy 5.56 que subiremos esta tarde a esta web, para pruebas de evaluacion en el foro de zonavirus.



Puedes aladirle la extension .VIR

al fichero C:\WINDOWS\SYSTEM32\VBOHOST.EXE y asi quedará aparcado a partir del proximo reinicio



Igualmente con dicha extension , será controlado por la utilidad indicada:



[quote]



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 6-2-2009

[Puner]

Hola,

Pase el programa k me abeis dixo y este es el reporte k me sale:





Fri Feb 06 13:58:13 2009

EliTriIP v5.55 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\drivers\npf.sys --> Eliminado, NTRTKit



Nº Total de Directorios: 6495

Nº Total de Ficheros: 73775

Nº de Ficheros Analizados: 19646

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



el fixero vbohost.exe lo movi con un programa llamado OTMoveit3 y ya no lo tengo.

Sigo con los mismo problemas, esta la cosa muy mal.



Saludos.

[msc hotline sat]

Pues mal hecho, deciamos que le añadieras la extension .VIR, no que lo eliminaras !



Y ademas, para ello hemos hecho la version 5.56 y vemos que has usado la 5.55



Pero si no haces lo que te decimos... -borrado lo que decia a continuacion- !



saludos



ms, 6-2-2009

[Puner]

Esta mañana pase la version k abia en el enlace xk pensaba k era la acutlizada y El arxivo lo abia movido xk estaba probando varias cosas para intentar resolver lo del virus.

Ya deje el arxivo otra vez en su sitio con la extension .vir y le pase el programa con la version nueva, k aora si esta actulizada. Y este es el reporte k me sale:





Fri Feb 06 16:34:05 2009

EliTriIP v5.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\vbohost.exe.vir --> Eliminado, RBot.ZVX

C:\_OTMoveIt\MovedFiles\02062009_114759\WINDOWS\system32\vbohost.exe --> Eliminado, RBot.ZVX



Nº Total de Directorios: 6496

Nº Total de Ficheros: 74180

Nº de Ficheros Analizados: 19679

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



1 saludo.

[lucl]

Pues parece que te elimino dos archivos dinos si ahora ya esta bien tu pc, saludos

[Puner]

Se me olvido ponerlo... xo sigue todo igual. Los mismos problemas.

[msc hotline sat]

El post del infosat está incompleto: Falta la parte del analisis por accion directa. En ella se indica si faltan parches, lo cual es muy importante en este caso.



Postealo completo



saludos



ms, 6-2-2009

[Puner]

Pues e mirao y no ai nada mas en el arxivo. Y lo e vuelto a pasar y sale lo mismo pero ya sin los arxivos infectados....

[msc hotline sat]

Pues no hay exploracion sin accion directa...



Pero en fin, con lo que dices, lo que haces y tal como escribes no voy a seguir atendiendote:


[quote]Pues e mirao y no ai nada mas en el arxivo. Y lo e vuelto a pasar y sale lo mismo pero ya sin los arxivos infectados....[/quote]

Esmerate en la escritura :


[quote]INTERVENCION DE ZONAVIRUS:



Procure escribir sus posts correctamente, y sin abreviaciones tipo móvil, el foro no es un chat ni está enviando un mensaje de móvil... Sus posts quedan guardados para el histórico y deben poder ser consultados y entendidos



En atención a los demás foreros, esmérese en la redacción y vigile las faltas de ortografía, duelen a los ojos !



gracias.[/quote]

7 faltas graves en 1 linea...



Me retiro del Tema.



saludos



ms.

ref SP/MAD+40.4-3.7

[Puner]

Yo te he dicho lo que me ha salido, asíque no me dejes encima por mentiroso. No se a que te refieres con la frase "Pero en fin, con lo que dices, lo que haces y tal como escribes... “porque he seguido todos los pasos según me los habéis indicado. Lo de las faltas de ortografía no sabia que no se podían poner, pero vamos... yo creo que se entiende perfectamente el mensaje para el que lo quiera entender. Me parece un poco mas grave tu falta del respeto ala hora de escribir aunque lo hagas sin faltas de ortografía.



En fin... gracias por las molestias.

[msc hotline sat]

Veo que has mejorado la escritura y parece que tienes buena intención... pues por esta vez, anexa el fichero C:\infosat.txt a tu proxima respuesta. A ver si vemos lo que encontramos a faltar en lo que has posteado, y conste que nadie te ha considerado mentiroso, simplemente que parece que el informe posteado no es completo, y lo que necesitamos ver no aparece, pero con lo que indico espero que podremos verlo.



Y nada de falta de respeto, simplemente hay momentos que la gota desborda el vaso.



Te doy una segunda oportunidad, no lo estropees con mas comentarios inoportunos...



saludos



ms, 7-2-2009