Win32:Ramnit-F infecta .exe , dll´s , .html´s y los borra Avast o Nod32 (SOLUCIONADO)

[meXicandiYei]

una infeccion que daña los ejecutables de sistema (muy parecido a vitro o virut) y que al infectar los archivos y ser detectados por el antivirus son borrados, dejando poco a poco inservible el sistema........



me llegaron 3 maquinas del mismo cliente infectadas con esto, despues de correr Elistara , Elitriip veo que no hay solucion, investigando encuentro que al parecer el causante es un malware llamado Watermark.exe (la ubicacion es C:archivos de programa\microsoft\watermark.exe) y la clave de registro que lo inicia es una modificacion al registro del userinit el original esta ubicado en :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ...... y la clave original es esta......."Userinit"="C:\\WINDOWS\\system32\\userinit.exe," despues de modificada aparece con una linea mas......"C:\\WINDOWS\\system32\\userinit.exe,,c:archivos de programa\microsoft\watermark.exe".



esto lo pongo para que no vayan a borrar esa linea con hijack this y mejor en todo caso la modifquen a mano.........



quise tomar la muestra de watermark con elimover, pero no se dejo asi que instale shadowcopy pero sin suerte asi que reinicie normal y sin querer avast me lo mando al baul (despues de no haberlo encontrado en un escaneo!!) lo buscare y lo subo mas tarde



otro de los sintomas es que al insertar alguna usb ya sea normalmente o en modo seguro la infecta de inmediato y comienza a hacer cambio en archivos de sistema (digo esto porque aparece la advertencia de insertar el disco original de xp para restaurar los archivos originales )



entre en modo seguro y modifque la clave del userinit y dejo de haber sintomas, pareciera todo esta normal (no creo debe haber algo mas por ahi)......ahora voy a hacer un sfc/ scannow para restaurar el sistema

y reporto esto tal y como voy solucionando para no olvidarme de pasos....sigo despues..





ya subi la muestra de watermark.exe y despues de que avast la elimino y arregle la clave del userinit, parece todo esta bien.....pero...al insertar una usb, ya no hay advertencia de infeccion pero al escanearla en otra maquina con el mismo avast...lanza advertencia!!!



al parecer avast estaba infectado tambien (NOD32 tambien estaba asi en otra d elas maquinas)...asi que, sin mas lo desisntale en modo seguro y al reinicio lo volvi a instalar...ahora si, la memoria entra y sale limpia...espero sea todo..



reporto mas tarde:





!!! hay que eliminar primero watermark y despues arreglar la clave de registro del userinit, fileassasin de malwarebytes puede eliminarlo al reinicio!! despues de eso ...regedit y ya se puede corregir la clave!.......todo esto en modo seguro y al reinicio se fue......

[msc hotline sat]

La clave del userinit que modifican muchos virus, cargandose a continuacion, la restaura el ELISTARA, sin necesidad de tener que toquetear el registro con el REGEDIT, lo cual no aconsejamos a los usuarios para no modificar indebidamente nada del registro.

Lo que pasa es que al no conocer el Watermark.exe, y poder estar en memoria, debió regenerarla, y tal como dices, conviene eliminar eliminar el fichero y restaurar la clave en la misma sesión, pero antes de todo, detener el proceso en memoria, con el mismo Administrador de Tareas si no lo ha desactivado, como hacen muchos otros malwares.



Veremos la muestra de dicho fichero, que dices habernos enviado, si bien puede haber sido toqueteada por el AVAST y no ser monitorizable, pero lo intentaremos en cuanto la recibamos.



En cuanto a lo que era, parece tratarse de este RAMNIT:


[quote]http://www.precisesecurity.com/files-process/2010/11/16/watermark-exe/



WaterMark.exe

Executable file "WaterMark.exe" was identified as a threats.

Overall Risk Level:

Submitted on: 16 November 2010



Related to: W32.Ramnit.B



Classification: Trojan



File Directory:

%ProgramFiles%\Microsoft\



Startup Type:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Userinit” = “%system%\userinit.exe,,c%ProgramFiles%\microsoft\watermark.exe”



Help protect your computer from fake "WaterMark.exe" pop-up alert:

- Make firewall active.

- Always update operating system, internet browser and anti-virus programs.

- Install a separate anti-malware program aside from present anti-virus application if it is not included.

- Be cautious when clicking links. It can point your browser to download threats or visit malicious web site. [/quote]

Ojo, que existe la aplicacion "WaterMark.exe" que es correcta, el nombre no implica su contenido, claro !



saludos



ms, 24-11-2010

[meXicandiYei]

gracias por la respuesta...y es interesante saber esa propiedad del elistara, la muestra ya esta enviada, y si gustan les enviare otra muestra limpia del watermark y un par de otros que genera ................que en si ya hice un backup de todo en las maquinas...por cierto elimover no me dejo sacarlo....aun en modo seguro...gracias por la atencion

[msc hotline sat]

Sí, el ELISTARA corrige y restaura las claves modificadas por cientos de miles de troyanos conocidos y hasta desconocidos, gracias a su detección heurística, igual que pide muestras de los sospechosos que coinciden con las pistas de su base de datos.



Y voy a ver si se ha recibido la muestra que indica, aparte de que confirmo que conviene que nos envie las demas que le parezcan tener relacion con ella, siempre es bueno tener el máximo de información cuando se va a controlar una nueva variante, para conseguir su control total.



Sí, efectivamente, se ha recibido la muestra y el preanalisis es positivo:


[code]File name: WaterMark.exe.vir
Submission date: 2010-11-24 08:28:37 (UTC)
Current status: queued (#6) queued (#6) analysing finished


Result: 19/ 43 (44.2%)
VT Community

not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.11.24.00 2010.11.23 -
AntiVir 7.10.14.82 2010.11.23 TR/Ramnit.A.40
Antiy-AVL 2.0.3.7 2010.11.24 -
Avast 4.8.1351.0 2010.11.24 Win32:Malware-gen
Avast5 5.0.594.0 2010.11.24 Win32:Malware-gen
AVG 9.0.0.851 2010.11.24 Generic20.LYK
BitDefender 7.2 2010.11.24 -
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.24 -
Command 5.2.11.5 2010.11.24 -
Comodo 6827 2010.11.24 -
DrWeb 5.0.2.03300 2010.11.23 -
Emsisoft 5.0.0.50 2010.11.24 Trojan.Win32.Ramnit!IK
eSafe 7.0.17.0 2010.11.23 Win32.TrojanRamnit.A
eTrust-Vet 36.1.7996 2010.11.23 -
F-Prot 4.6.2.117 2010.11.23 -
F-Secure 9.0.16160.0 2010.11.24 -
Fortinet 4.2.254.0 2010.11.23 -
GData 21 2010.11.24 Win32:Malware-gen
Ikarus T3.1.1.90.0 2010.11.24 Trojan.Win32.Ramnit
Jiangmin 13.0.900 2010.11.20 -
K7AntiVirus 9.68.3065 2010.11.24 -
Kaspersky 7.0.0.125 2010.11.24 -
McAfee 5.400.0.1158 2010.11.24 Generic.dx!uxz
McAfee-GW-Edition 2010.1C 2010.11.24 Artemis!ABDFD15B7182
Microsoft 1.6402 2010.11.24 Trojan:Win32/Ramnit.A
NOD32 5643 2010.11.23 Win32/Ramnit.A
Norman 6.06.10 2010.11.24 -
nProtect 2010-11-24.01 2010.11.24 -
Panda 10.0.2.7 2010.11.23 W32/Cosmu.A.drp
PCTools 7.0.3.5 2010.11.24 Malware.Ramnit
Prevx 3.0 2010.11.24 High Risk Cloaked Malware
Rising 22.75.01.03 2010.11.24 -
Sophos 4.59.0 2010.11.24 -
SUPERAntiSpyware 4.40.0.1006 2010.11.24 -
Symantec 20101.2.0.161 2010.11.24 W32.Ramnit.B
TheHacker 6.7.0.1.089 2010.11.23 -
TrendMicro 9.120.0.1004 2010.11.24 TROJ_GEN.R42C2KN
TrendMicro-HouseCall 9.120.0.1004 2010.11.24 TROJ_GEN.R42C2KN
VBA32 3.12.14.2 2010.11.23 -
VIPRE 7395 2010.11.24 Trojan.Win32.Generic!BT
ViRobot 2010.11.20.4158 2010.11.24 -
VirusBuster 13.6.56.0 2010.11.23 -
Additional informationShow all
MD5 : abdfd15b7182b55ef0201f7a7c37f265
SHA1 : 014513b5746c0f848e813e75e0d1fad1881f8b59
SHA256: 5b02fb379b5a88f1eec50915c9640edfe7b91ad4b537129fe07fd78946e762ad
ssdeep: 1536:ZrF10BSd24a/NFyZLpUhNLrTZfLSPB4uXnMYYUy:Zp2c44aN+F2NfTx2nXMYHy
File size : 78253 bytes
First seen: 2010-11-17 12:07:44
Last seen : 2010-11-24 08:28:37
TrID:
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
sigcheck:
publisher....: Whole Tomato Software, Inc.
copyright....: Copyright(c) Whole Tomato Software, Inc. 1999-2010
product......: Visual Assist X
description..: Visual Assist X
original name: VA_X.dll
internal name: VA_X
file version.: 10, 6, 1827, 0[/code]



Lo subimos a monitorizacion y ya informaremos del resultado.



saludos



ms, 24-11-2010

[msc hotline sat]

Pues hemos visto que es de los que se propaga por pendrive y unidades extraibles, asi que conviene recordar el consejo de vacunar ordenadores y pendrves con el ELIPEN:



http://www.satinfo.es/zonavirus/flecha.gif[/img]

Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



En el ELISTARA 2208 de hoy ya implementamos su control y eliminacion, pero solo del infector, pues como bien dices, luego infecta EXEs y DLLs y de ello se ha de cuidar un antivirus que los limpie, pero no que los elimine como decias que alguno de habia hecho.



Es el primer virus infector que hemos visto que se propaga por pendrive, pues en gusanos y troyanos de todos tipos está de moda la transmision via pendrive, pero no en virus infectores como el VIRUT, VITRO y similares.



Bueno, pues ya tenemos otra "historia para no dormir "...



McAfee detecta como Generix DX al infector y como RAMNIT a los infectados, pero los liquida todos, y se trata de que limpie los infectados con el RAMNIT, por lo que le enviamos muestra de ellos para que vean de limpiarlos en proximas actualizaciones.



Si solo infectara los ficheros de sistema, lanzando una reparacion de sistema se solucionaría, pero nos parece que va mas allá, y que infecta otros EXE, asi que lo dejamos en manos de McAfee, a ver lo que puede hacer...



Dices que con el SFC/Scannow lo das por solucionado... pues no estés tan seguro, que creo que tendrás otros ficheros EXE infectados, tiempo al tiempo !



saludos



ms, 24-11-2010

[meXicandiYei]

si exacto eso es lo que creo , ramnit es el infectado... el infector no lo he encontado, pero tambien crea unos archivos de terminacion .ink (!! que cosa no?) y que son los que se propagan via pendrive.



(sin querer infecte una maquina mas .....pero apagandola y dandole un servicio se limpio uff) (esto fue porque el antivirus avast free ya no tenia clave y estaba deshabilitado en esa maquina, asi que estaba indefensa)



me doy cuenta que mucha de la infeccion se queda en la carpeta de restauracion de sistema...y tambien reporto que Malwarebytes en su ultima actualizacion ya tiene identificados tanto el watermak.exe y su clave de registro aunque aun asi , solo elimina la infeccion despues de 2 o 3 intentos con sus respectivos reinicios .



las laps que estoy revisando son de un servicio a celulares y el contenido es importante para ellos por eso me interesa solucionarlo sin la mayor perdida de datos, me reportan que varias maquinas mas en la misma plaza estan infectadas con lo mismo, asi que....elipen es vital para al menos eliminar el autorun de las unidades y asi evitar la propagacion de esta infeccion..gracias y saludos

[msc hotline sat]

Pues ya son varios los usuarios (clientes y del foro) que se han visto afectados y para ello y los demás, hemos editado esta Noticia:



http://www.zonavirus.com/noticias/2010/aviso-del-primer-dropper-infector-que-se-propaga-por-pendrive-watermark.asp



Espero que sea de tu interés, y que entre el ELIPEN, el nuevo ELISTARA 22.08, y el antivirus que te limpie los que se infecten que no sean de sistema (los que lo son se restauran por el los salvados en el DLLCACHE), se puedan solucionar los problemas causados por este mal bicho !



A McAfee ya le hemos enviado muestras de DLL y EXE infectados sin ser del sistema y que por tanto no hay copia original en el DLLCACHE, a ver si las proximas versiones los limpia.



Parece que lo has pillado al principio, pues hasta ahora no habiamos tenido incidencias al respecto.





Ya nos contarás como te ha ido en las pruebas con nuestras utilidades e indicaciones.



saludos



ms, 24-11-2010

[meXicandiYei]

envio muestras de la carpeta RECYCLER que fue generada por la infeccion, estas , disparan una y otra vez las alertas de Avast , creo yo , infectan de nuevo la maquina , y la maquina infecta la usb en un circulo que parece no terminar.....





una peticion, podrian crear una utilidad que repare las claves de registro que se refieren a la restauracion de archivos de sistema? (cuando nos dice que hay que insertar el cd porque no estan los archivos originales)....esto porque hay veces que pongo el cd y dice que no es el cd correcto, aun cuando es el mismo con el que instale el sistema....gracias adelantadas!

[meXicandiYei]

pego el reporte de el ultimo escaneo con Elistara y corresponde con las ultimas muestras que les envie, saludos! y muchisimas gracias


[code] (24-11-2010 16:50:54 (GMT))
EliStartPage v22.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2010)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\\SVCHOST.EXE --> Eliminado W32.Ramnit.A(drvir)
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
C:\ARCHIVOS DE PROGRAMA\MICROSOFT\WATERMARK.EXE --> Acceso Denegado.
C:\ARCHIVOS DE PROGRAMA\ASK.COM\GENERICASKTOOLBAR.DLL --> Eliminado ASKToolbar(bho/tb)
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Eliminada Class, "{00000000-6E41-4FD3-8538-502F5495E5FC}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll
Eliminada Class, "{D4027C7F-154A-4066-A1AD-4243D8127440}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (E)
shellexecute=\RECYCLER\S-6-8-62-3642226186-4351000022-704817683-8033\eeneltID.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
No Existe el Fichero: "C:\WINDOWS\SYSTEM32\drivers\etc\Hosts"
Reinicie para Completar la Limpieza.

(24-11-2010 17:01:10 (GMT))
EliStartPage v22.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2010)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Archivos de programa\Archivos comunes\Roxio Shared\9.0\SharedCOM\ROXWATCHTRAY9MGR.EXE --> Eliminado, W32.Ramnit.A(drvir)
C:\Archivos de programa\LimeWire\LIMEWIREMGR.EXE --> Eliminado, W32.Ramnit.A(drvir)
C:\Archivos de programa\QuickTime\QTTASKMGR.EXE --> Eliminado, W32.Ramnit.A(drvir)
C:\WINDOWS\EXPLORERMGR.EXE --> Eliminado, W32.Ramnit.A(drvir)

Nº Total de Directorios: 8788
Nº Total de Ficheros: 78726
Nº de Ficheros Analizados: 13543
Nº de Ficheros Infectados: 4
Nº de Ficheros Limpiados: 4

(24-11-2010 17:03:09 (GMT))
EliStartPage v22.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2010)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\ARCHIVOS DE PROGRAMA\MICROSOFT\WATERMARK.EXE --> Acceso Denegado.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
No Existe el Fichero: "C:\WINDOWS\SYSTEM32\drivers\etc\Hosts"
Reinicie para Completar la Limpieza.

(24-11-2010 17:18:01 (GMT))
EliStartPage v22.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2010)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 8791
Nº Total de Ficheros: 79030
Nº de Ficheros Analizados: 13540
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(24-11-2010 21:07:23 (GMT))
EliStartPage v22.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2010)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
No Existe el Fichero: "C:\WINDOWS\SYSTEM32\drivers\etc\Hosts"

[/code]

[msc hotline sat]

Pues todo bien menos el que este maldito resiste:



C:\ARCHIVOS DE PROGRAMA\MICROSOFT\WATERMARK.EXE --> Acceso Denegado.





Mira de arrastrar con el mouse dicho fichero al escritorio, y tras reiniciar, volver a pasar el mismo ELISTARA, a ver si asi ya no está en uso y lo podemos eliminar.



Sino, habrá que arrancar con otro medio y tras acceder a dicho fichero, eliminarlo.



Para ello, o bien se coloca el disco duro como esclavo en otro ordenador, o se dispone de un LIVECD de arranque, pero no adelantemos acontecimientos, veamos si con lo de arrastrarlo al escritorio, luego no se carga al reiniciar y podemos acabar con él.



Son experiencias con otros malwares que se resisten, pero hasta ahora (y desde hace mas de 20 años y miles de incidencias) hemos podido con todos !



Esperamos nos cuentes tus progresos al respecto, gracias ! :wink:



saludos



ms, 25-11-2010

[msc hotline sat]

Y sobre lo que pides de :



"[i]una peticion, podrian crear una utilidad que repare las claves de registro que se refieren a la restauracion de archivos de sistema? (cuando nos dice que hay que insertar el cd porque no estan los archivos originales)...[/i]."



que mas quisieramos, pero no somos Microsoft ! Son parte del sistema operativo, que si algun virus los elimina, o están salvados en DLLCACHE o se han de reponer desde CD de instalacion o copia de seguridad.



Y cada ordenador ha de tener el CD de instalacion de Microsoft, solo hace falta tenerlo a buen recaudo, por si acaso !



(y un backup al día... :roll: )



saludos



ms, 25-11-2010

[meXicandiYei]

ja ja eso si....de hecho lo de poder reparar el problema de disco incorrecto es posible, hay varios tutoriales en la red y sirven....pero de vez en vez hay que trastear el registro y pues..pero no se preocupen que asi aprende uno ,algo diferente o mas cada dia....



aaa y de hecho ya estan completamente limpias 2 de las maquinas.......el sistema siguio trabajando y solamente hubo que reponer algunos archivos de windows y algunas aplicaciones que se perdieron ..pero mañana empíezan a trabajar con ellas en la plaza, no creo regresen por las mismas causas...quedaron los drivers de los celulares y las aplicaciones de las boxes sin ningun problema asi que estan operacionales (probadas ya)



saludos y cuando pasen un par de dias reporto si siguen bien (me voy a quedar con una.....para el uso diario) y mañana llegan 3 mas y si no veo problemas pues les pedire cerrar el post..gracias

[msc hotline sat]

No está claro que estés limpio del todo...



Esto que indica el infosat: [b][i]C:\ARCHIVOS DE PROGRAMA\MICROSOFT\WATERMARK.EXE --> Acceso Denegado.[/i][/b]



indica que el bicho está en uso. Antes de todo lo indicado, mira simplemente si arrancando en MODO SEGURO (como ya decíamos en la NOTICIA al respecto) y lanzando en dicho modo, el ELISTARA lo debe poder eliminar, y si no, existe otra posibilidad: Renombrar la DLL que requiere para ejecutarse, como indicamos en la NOTICIA al respecto :



http://www.zonavirus.com/noticias/2010/aviso-del-primer-dropper-infector-que-se-propaga-por-pendrive-watermark.asp




[quote="Sobre el RAMNIT, msc"]
NOTA MUY IMPORTANTE: PARA ELIMINAR ESTE DROPPER, EL ElistarA DEBE EJECUTARSE ARRANCANDO EN MODO SEGURO, pues si el malware está en proceso, no se puede detener.



Para que el malware funcione requiere la “MSVCR71.DLL” (Microsoft C Runtime Library), por lo cual una manera de bloquear su accion temporalmente es la de cambiar el nombre a dicha librería, por ejemplo por MSVCR71.DLL.OJO y tras reiniciar no se ejecutará dicho malware.



En el caso de renombrar la DLL, una vez eliminado el virus deberá volverse a dejar como estaba en un principio, para que pueda ser utilizada por otras aplicaciones hechas con C++
[/quote]

pero no estaré tranquilo hasta que vea el infosat.txt tras ultimo ELISTARA que te pido lances en MODO SGEURO...



saludos



ms, 25-11-2010

[msc hotline sat]

Recibidos los ficheros del RECYCLER, todos los EXE son controladors por el actual ELISTARA 22.08, y las CPL varian como ya indicamos, en los 8 bytes segun el nombre del EXE que las llama, pero eliminado el EXE pensamos que quedan inutiles, por ello prescindimos de ellas. Si se demostrara lo contrario ya veríamos como controlarlas, pero con nombre variable y contenido variable en funcion del nombre del EXE... requeriría una utilidad especial, que de momento nos ahorramos el hacerla.



Dichos CPL tampoco sirven para nada, asi que los puedes eliminar, si quieres, aunque sin el EXE nos parece que no molestan...



Y recuerda lo último que te pedíamos, arrancar en MODO SEGURO y lanza el ELISTARA, a ver si en el infosat aparece eliminado el WATERMARK.EXE de marras.



saludos



ms, 25-11-2010

[meXicandiYei]

[code] (25-11-2010 13:27:12 (GMT))
EliStartPage v22.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2010)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

(25-11-2010 14:49:08 (GMT))
EliStartPage v22.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2010)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 26263
Nº Total de Ficheros: 213442
Nº de Ficheros Analizados: 40061
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

[/code]

saludos!...este es el escaneo y si , es dificil terminar con watermark.exe aun desde modo seguro (no se puede, lo intente), lo que hago por costumbre es ejecutar Elistara desde una LiveUSB asi evito hacer escaneos de mas, y ahorro tiempo porque voy mas a la segura..........si gustan, puedo hacer pruebas en las demas makinas por llegar y en alguna aplicar Elistara nuevas versiones, solamente desde modo seguro y ver que pasa.

[msc hotline sat]

Está muy bien usar un LIVECD para arrancar y poder acceder a ficheros inaccesibles, pero no para lanzar el ELISTARA, ya que con ello no se accede al registro de sistema del disco duro, y no se corrigen las claves maliciosas.



Solo para mover o copiar o sacar un fichero inaccesible por un RootKit o similar, no para escanear ni cion antivirus ni con utilidades, por lo indicado de que el registro accesible no es entonces el del disco duro.



Por último solo te pedimos que en este mismo ordenador, lances de nuevo el SPROCES y nos postees el log resultante



Asi liquidaremos el asunto.



De todas formas no veo donde se eliminó el WATERMARK.EXE, mejor copianos todo el INFOSAT.TXT, a ver si vemos cuando se accedió y se eliminó, o es que lo hiciste manualmente ?



saludos



ms, 25-11-2010

[meXicandiYei]

saludos....la laptop donde hice la limpieza ya no la tengo a la mano....y el ultimo reporte que pegue de Elistara estoy seguro esta correcto.....watermark exe fue eliminado a traves de un LiveCd desde ahi corri elistara y malwarebytes ..........depues de ahi los corri de neuvo en modo seguro para que detectran claves infectadas e hicieran la debida limpieza y en el siguiente reinicio ejecute Elistara una vez mas y el reporte marco cero infecciones , por su parte Malwarebytes me reporto limpia tambien la maquina......





por cierto esa compu se utiliza arriba de 12 horas al dia y me dice el cliente quedo perfecta asi como las otras dos que me envio.......muchas gracias y saludos !







PD: disculpen no haber terminado el reporte pero sali de trabajo este fin..gracias por sus atenciones saludos!

[msc hotline sat]

Independientemente de los .CPL, con el actual ELISTARA controlamos el WATERMARK, como lo demuestra el que ya no te indique lo de "Acceso Denegado" a dicho fichero.



Repetimos que como ya indicamos en la Noticia http://www.zonavirus.com/noticias/2010/aviso-del-primer-dropper-infector-que-se-propaga-por-pendrive-watermark.asp , es muy importante ARRANCAR EN MODO SEGURO, no arrancar con LIVECD, pues asi no de pueden eliminar las claves creadas en el registro, ya que no ha sido el sistema de arranque.



Por nuestra parte agradecemos la colaboración prestada,y si ya no persiste ningun problema, damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos :)



saludos



ms, 30-11-1020