virus que crea acceso directo en los pendrive
virus que crea acceso directo en los pendrive
Hola gente linda quisisera su ayuda por pasa que a mi pc le entro el virus que crea el acceso directo en los pendrive, pero ya lo pase el elistara y el elibvna y lo pase en modo seguro y no paso nada no elimino el virus sigue creando accesos directos incluso en modo seguro ayuda por favor !!!!!!!!!!!
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: virus que crea acceso directo en los pendrive
Hay muchos virus que ocultan ficheros y carpetas y crean con su nombre accesos directos al fichero malware, los cuales vamos controlando a medida que los vamos conociendo.
Fijate en el nombre del fichero que lanza cualquier link de estos y envianoslo como muestra para analizar y controlar
Y te adelanto que, como que por tu IP, parece que estás en Bolivia, por ahí hay mucho CRISAS o BONDAT, como el último del que informabamos, y que podría ser una variante del que tienes:
http://www.zonavirus.com/noticias/2017/nueva-variante-de-jscrisas-alias-bondat-infecta-pendrives.asp
Dicho virus lo detectamos inicialmente en Colombia, luego en Perú y Ecuador, y como sea que se propaga por pendrive, y estás en su área de influencia, por ello creo probable que puede ser una variante del que tienes.
Tan pronto recibamos el fichero pedido, lo analizaremos e informaremos, además de crear la nueva versión del ELISTARA que lo controle y elimine.
Saludos
ms, 13-3-2017
Fijate en el nombre del fichero que lanza cualquier link de estos y envianoslo como muestra para analizar y controlar
Y te adelanto que, como que por tu IP, parece que estás en Bolivia, por ahí hay mucho CRISAS o BONDAT, como el último del que informabamos, y que podría ser una variante del que tienes:
Dicho virus lo detectamos inicialmente en Colombia, luego en Perú y Ecuador, y como sea que se propaga por pendrive, y estás en su área de influencia, por ello creo probable que puede ser una variante del que tienes.
Tan pronto recibamos el fichero pedido, lo analizaremos e informaremos, además de crear la nueva versión del ELISTARA que lo controle y elimine.
Saludos
ms, 13-3-2017
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: virus que crea acceso directo en los pendrive
Buen día, quería aportar un poquito , y con respecto a este problema yo uso un programa que hasta ahora no me ha fallado.
Te comparto el enlace de descarga,[color=#FF0000][b][i]enlace retirado[/i] [/b] [/color] , lo subí para que lo pruebes, es una carpeta en la cual adentro tiene 2 archivos,
el primer archivo se llama "comando para ver todo" es un .bat y el segundo se llama "reparador de ficheros=Jj-1000"
y es un .exe , lo que deberias hacer si quieres probar es copiar los 2 al pentdrive infectado y ejecutar primero el .bat ,que básicamente es solo para ver los archivos ocultos y el segundo es para devolver los archivos originales y eliminar los molestos accesos directos.
Cabe aclarar que esto solo desinfecta el pentdrive, por lo que si tu computadora sigue infectada , te volverá a suceder hasta que logres desinfectar el equipo. Generalmente esta en ejecución constantemente , deberias fijarte los procesos que tienes activos, o métete en "msconfig" por medio de ejecutar (con la tecla Windows+R) y chequea los programas que están en el inicio , si ves alguno raro revisa la ruta para ver si es un script.
El proceso se puede llamar wscript.exe y el nombre del virus puede variar pero uno de esos es mugen.vbs .
También debes eliminarlo del pentdrive.
Espero haber sido de ayuda , Saludos.
Te comparto el enlace de descarga,
el primer archivo se llama "comando para ver todo" es un .bat y el segundo se llama "reparador de ficheros=Jj-1000"
y es un .exe , lo que deberias hacer si quieres probar es copiar los 2 al pentdrive infectado y ejecutar primero el .bat ,que básicamente es solo para ver los archivos ocultos y el segundo es para devolver los archivos originales y eliminar los molestos accesos directos.
Cabe aclarar que esto solo desinfecta el pentdrive, por lo que si tu computadora sigue infectada , te volverá a suceder hasta que logres desinfectar el equipo. Generalmente esta en ejecución constantemente , deberias fijarte los procesos que tienes activos, o métete en "msconfig" por medio de ejecutar (con la tecla Windows+R) y chequea los programas que están en el inicio , si ves alguno raro revisa la ruta para ver si es un script.
El proceso se puede llamar wscript.exe y el nombre del virus puede variar pero uno de esos es mugen.vbs .
También debes eliminarlo del pentdrive.
Espero haber sido de ayuda , Saludos.
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: virus que crea acceso directo en los pendrive
El BAT que has enviado lanza simplemente un:
attrib -a -s -r -h *.* /s /d
con lo que quita los atributos incluso los de sistema y ocultos a los ficheros, de forma que puedas verlos sin mas...
Pero el EXE lo detectan los antivirus como adware, asi que saco el link del Tema para no despertar sospechas de ficheros víricos en el foro, aunque fueran falsos positivosm y si se quiere usar el BAT, ejecutar la linea arriba indicada y, visto el fichero al que llaman los enlaces maliciosos, enviarnoslo para analizar y controlar.
De todas formas gracias por tu colaboración
saludos
ms, 16-3-2017
attrib -a -s -r -h *.* /s /d
con lo que quita los atributos incluso los de sistema y ocultos a los ficheros, de forma que puedas verlos sin mas...
Pero el EXE lo detectan los antivirus como adware, asi que saco el link del Tema para no despertar sospechas de ficheros víricos en el foro, aunque fueran falsos positivosm y si se quiere usar el BAT, ejecutar la linea arriba indicada y, visto el fichero al que llaman los enlaces maliciosos, enviarnoslo para analizar y controlar.
De todas formas gracias por tu colaboración
saludos
ms, 16-3-2017
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: virus que crea acceso directo en los pendrive
Y el preanalisis de virustotal sobre el EXE "reparador", ofrece el siguiente informe:
MD5 2793e759da0e36c672d30b06080c2d1b
SHA1 000941e64ba2b02e59a07f100585d1e6e1f0f58b
Tamaño del fichero 22.5 KB ( 23040 bytes )
SHA256: c0c05cd7c0c5a302eff8ca079b6cd24b6e012338a962bc00a880922dd34186bf
Nombre: reparador de ficheros=Jj-1000.exe
Detecciones: 28 / 62
Fecha de análisis: 2017-03-16 16:19:25 UTC ( hace 1 minuto )
0 1
Antivirus Resultado Actualización
AegisLab Uds.Dangerousobject.Multi!c 20170316
Avast Win32:Evo-gen [Susp] 20170316
Avira (no cloud) TR/Rogue.8155950 20170316
AVware Trojan.Win32.Generic!BT 20170316
Comodo UnclassifiedMalware 20170316
DrWeb Trojan.AVKill.23302 20170316
Endgame malicious (moderate confidence) 20170222
Fortinet W32/Dx.BFLH!tr 20170316
GData Win32.Trojan.Agent.5DNZ7N 20170316
Ikarus Trojan.Rogue 20170316
Invincea trojan.win32.multiinjector.c!rfn 20170203
Kaspersky UDS:DangerousObject.Multi.Generic 20170316
Kingsoft Win32.Troj.Generic.(kcloud) 20170316
McAfee Artemis!2793E759DA0E 20170316
McAfee-GW-Edition BehavesLike.Win32.Dropper.mc 20170316
NANO-Antivirus Trojan.Win32.AVKill.bjtaro 20170316
Palo Alto Networks (Known Signatures) generic.ml 20170316
Qihoo-360 Win32/Trojan.Multi.daf 20170316
Rising Trojan.Generic (cloud:v1bxPkzKxLS) 20170316
SentinelOne (Static ML) static engine - malicious 20170315
Symantec Trojan.Gen.2 20170315
TheHacker Posible_Worm32 20170315
TrendMicro TROJ_SPNR.0CL313 20170316
TrendMicro-HouseCall TROJ_SPNR.0CL313 20170316
VIPRE Trojan.Win32.Generic!BT 20170316
Webroot W32.Malware.Gen 20170316
Yandex Trojan.Kryptik!8c8x7AvDFas 20170315
ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic 20170316
Lo hemos subido a monitorización para ver lo que hace, si bien vemos que ya hace 4 años fue subida al virustotal:
[b][i]First submission 2013-03-07 10:16:36 UTC ( hace 4 años )
Last submission 2017-03-16 16:19:25 UTC ( hace 9 minutos )
Nombres reparador de ficheros=Jj-1000.exe
reparador de ficheros=Jj-1000.exe
reparador de ficheros=Jj-1000.exe
2793e759da0e36c672d30b06080c2d1b
Advanced heuristic and reputation engines
ClamAV Possibly Unwanted Application. While not necessarily malicious, the scanned file presents certain characteristics which depending on the user policies and environment may or may not represent a threat. For full details see:https://www.clamav.net/documents/potentially-unwanted-applications-pua .[/i] [/b]
Como vemos en la descripción del último enlace, lo consideran PUP (Potential unwanted program), aunque visto lo que hace, parece un simple BAT convertido a EXE, aplicando las instrucciones del ATTRIB ya contempladas en el BAT que has enviado, si bien lo consideran "POTENCIALMENTE INDESEABLE" ... ???
De todas formas nosotros utilizamos para todos los que hacen servir el AUTORUN.INF, nuestro ELIPEN.EXE , que además deja protegidos los pendrives contra dicho tipo de virus de "AUTORUN"
Otra cosa son los que ocultan ficheros y carpetas y crean enlaces al malware, los cuales vamos controlando con el ELISTARA, pero siempre existirán nuevos desconocidos hasta que se nos envien muestras del malware, como pedimos en este caso.
saludos
ms, 16-3-2017
MD5 2793e759da0e36c672d30b06080c2d1b
SHA1 000941e64ba2b02e59a07f100585d1e6e1f0f58b
Tamaño del fichero 22.5 KB ( 23040 bytes )
SHA256: c0c05cd7c0c5a302eff8ca079b6cd24b6e012338a962bc00a880922dd34186bf
Nombre: reparador de ficheros=Jj-1000.exe
Detecciones: 28 / 62
Fecha de análisis: 2017-03-16 16:19:25 UTC ( hace 1 minuto )
0 1
Antivirus Resultado Actualización
AegisLab Uds.Dangerousobject.Multi!c 20170316
Avast Win32:Evo-gen [Susp] 20170316
Avira (no cloud) TR/Rogue.8155950 20170316
AVware Trojan.Win32.Generic!BT 20170316
Comodo UnclassifiedMalware 20170316
DrWeb Trojan.AVKill.23302 20170316
Endgame malicious (moderate confidence) 20170222
Fortinet W32/Dx.BFLH!tr 20170316
GData Win32.Trojan.Agent.5DNZ7N 20170316
Ikarus Trojan.Rogue 20170316
Invincea trojan.win32.multiinjector.c!rfn 20170203
Kaspersky UDS:DangerousObject.Multi.Generic 20170316
Kingsoft Win32.Troj.Generic.(kcloud) 20170316
McAfee Artemis!2793E759DA0E 20170316
McAfee-GW-Edition BehavesLike.Win32.Dropper.mc 20170316
NANO-Antivirus Trojan.Win32.AVKill.bjtaro 20170316
Palo Alto Networks (Known Signatures) generic.ml 20170316
Qihoo-360 Win32/Trojan.Multi.daf 20170316
Rising Trojan.Generic (cloud:v1bxPkzKxLS) 20170316
SentinelOne (Static ML) static engine - malicious 20170315
Symantec Trojan.Gen.2 20170315
TheHacker Posible_Worm32 20170315
TrendMicro TROJ_SPNR.0CL313 20170316
TrendMicro-HouseCall TROJ_SPNR.0CL313 20170316
VIPRE Trojan.Win32.Generic!BT 20170316
Webroot W32.Malware.Gen 20170316
Yandex Trojan.Kryptik!8c8x7AvDFas 20170315
ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic 20170316
Lo hemos subido a monitorización para ver lo que hace, si bien vemos que ya hace 4 años fue subida al virustotal:
Last submission 2017-03-16 16:19:25 UTC ( hace 9 minutos )
Nombres reparador de ficheros=Jj-1000.exe
reparador de ficheros=Jj-1000.exe
reparador de ficheros=Jj-1000.exe
2793e759da0e36c672d30b06080c2d1b
Advanced heuristic and reputation engines
ClamAV Possibly Unwanted Application. While not necessarily malicious, the scanned file presents certain characteristics which depending on the user policies and environment may or may not represent a threat. For full details see:
Como vemos en la descripción del último enlace, lo consideran PUP (Potential unwanted program), aunque visto lo que hace, parece un simple BAT convertido a EXE, aplicando las instrucciones del ATTRIB ya contempladas en el BAT que has enviado, si bien lo consideran "POTENCIALMENTE INDESEABLE" ... ???
De todas formas nosotros utilizamos para todos los que hacen servir el AUTORUN.INF, nuestro ELIPEN.EXE , que además deja protegidos los pendrives contra dicho tipo de virus de "AUTORUN"
Otra cosa son los que ocultan ficheros y carpetas y crean enlaces al malware, los cuales vamos controlando con el ELISTARA, pero siempre existirán nuevos desconocidos hasta que se nos envien muestras del malware, como pedimos en este caso.
saludos
ms, 16-3-2017
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online