Virus Que Borra Archivos de Escritorio (SOLUCIONADO)

[cepab79]

Hola

Quisiera su opinion acerca del siguiente problema. En mi oficina estaba trabajando normalmente en mi laptop, cuando me dieron una memoria usb para descargar un archivo de texto que iva a mandar por mail. Al conectar el dispositivo no me aparecio la ventana de tareas de "Que desea hacer?" al intentar abrirlo desde MI PC con doble click ignoro la orden y siguio sin accesar. Reinicie la máquina, pero al detectar de nuevo el dispositivo me aparecio un mensaje que decía "Proyecto 1 se ha pegado a unidad F:" al cerrar esta ventana automaticamente me borro los archivos que tenía en el escritorio y en mis documentos. En Mis documentos solo borro los archivos que no estaban dentro de carpetas. Segui unas instrucciones que encontre en la red y descargue el Elistar y lo ejecute en modo a prueba de fallas, para despues hacer un escaneo general con el PAnda Antivirus, al parecer todo estaba bien, puesto que con ambos programas me mostro que encontro archivos que no correspondian al registro de Windows y procedio a eliminarlos, pero al meter otra unidad usb me volvio a mandar el mismo mensaje. Quisiera saber si existe alguna forma de asegurarse de que este virus realmente ha sido eliminado en su totalidad

[msc hotline sat]

Sí, recordar que los pendrive pueden venir infectados y al introducirlos en los ordenadores, si no se hace pulsando shift para saltar el AUTORUN.INF, pueden infectar el ordenador y pasar lo que te ha pasado.



El troyano Downloader.VF es controlado por el actual ELISTARA y utiliza el nombre de PROYECTO1.EXE para su gusano, y es de los que infecta pendrives, por lo que pudo ser este



Si es el caso, con el ELISTARA actual se controla, como puede verse en otro Tema:


[quote]
C:\Documents and Settings\WINDOWS XP\Escritorio\orliando\pendrive chico\paint\PROYECTO1.EXE --> Eliminado, DownLoader.VF

C:\Documents and Settings\WINDOWS XP\Escritorio\orliando\visual basic desde 0\paint visual basic proyecto\PROYECTO1.EXE --> Eliminado, DownLoader.VF
[/quote]

pero no cuesta nada comprobar con un inicio -> buscar, que no exista este PROYECTO1.EXE



y nos informa del resultado, gracias



saludos



ms, 25-05-2007

[cepab79]

Al parecer todo esta en orden, le adjunto la información que despelgo el archivo de texto del infosat

Thu May 24 12:02:39 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu May 24 12:03:02 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\AutoCAD 2004\ADIMON2.DLL --> Eliminado, AltNet

C:\System Volume Information\_restore{1EBAF5BB-A824-41FF-A5C0-814F1FA12A58}\RP25\A0003919.DLL --> Eliminado, AltNet



Thu May 24 12:09:24 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Programas\VEOTV.EXE --> Eliminado, Guiños(msn)



Thu May 24 12:09:37 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\System Volume Information\_restore{1EBAF5BB-A824-41FF-A5C0-814F1FA12A58}\RP25\A0003923.EXE --> Eliminado, Guiños(msn)



Thu May 24 13:58:39 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu May 24 13:59:14 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Thu May 24 13:59:55 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

"C:\Muestras\Autorun.inf.(F)" a "virus@satinfo.es". Gracias.



Thu May 24 13:59:59 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Thu May 24 14:00:17 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Thu May 24 14:00:35 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu May 24 14:00:39 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Thu May 24 14:03:05 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu May 24 14:03:08 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Thu May 24 14:23:37 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu May 24 14:23:48 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Thu May 24 14:24:07 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Thu May 24 14:24:09 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Thu May 24 14:24:12 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Thu May 24 14:24:15 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Thu May 24 14:24:19 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Thu May 24 14:24:23 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu May 24 14:28:54 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Thu May 24 14:44:08 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Por favor, envienos una muestra del fichero

"C:\Muestras\Autorun.inf.(G)" a "virus@satinfo.es". Gracias.



Thu May 24 14:44:21 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Thu May 24 14:44:23 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Thu May 24 14:44:27 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Thu May 24 14:44:42 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu May 24 15:56:22 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu May 24 15:56:27 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu May 24 16:01:21 2007

EliStartPage v14.04 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Tambien genero 2 archivos de muestra del autorun.inf. Mande las muestras a la dirección que me sugirio el programa. Quisiera saber si ustedes tienen una dirección para mandarselas



Por su atención gracias.

[msc hotline sat]

Sí, mejor repita el envio segun indicaciones, pues dino , si nº de asociado de SATINFO, irian a la cola...



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 25-05-2007

[msc hotline sat]

Pues pareec que tenemos el gusano en la llamada que vemos en el autorun.inf: OPEN=.\system\memory\autorun.exe



Pues bien, este AUTORUN.EXE es el que hemos de buscar y controlar tanto en el disoc duro como en los pendrives, pero seguro que estará oculto...



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



Envienos muestra de este fichero AUTORUN.EXE y lo analizaremos



saludos



ms, 28-05-2007

[cepab79]

Hola soy yo otra vez:

Segui todas sus recomendaciones pero me seguia apareciendo esa rutina de "Proyecto 1 se ha pegado a Unidad #" aunque ahora ya no me borraba nada ya que al cerrarlo me decia que tenia un runtime error y no encontraba el archivo ejecutable. Descarge la actualizacion del elistara y esta vez si me detecto el virus y procedio a borrarlo. Lo volvi a correr en mis dispositivos usb y tambien lo detecto ahi. Tambien procedio a borrarlos. Al parecer esta trabajando todo normalmente. Creo que el problema esta solucionado, de todas formas estare al pendiente y les informare si ocurre algun desarrollo extraño. Gracias por su tiempo

[lucl]

Nos alegramos mucho pero pudiera ser que nos pegases el ultimo informe de elistara? seria de gran ayuda, asi veriamos que autorun era y demas, gracias.

[cepab79]

Como lo pidieron les anexo el ultimo informe del elistara



Wed Jun 06 12:16:03 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\AUTORUN.EXE --> Eliminado Malware.Proyecto1

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jun 06 12:16:37 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{1EBAF5BB-A824-41FF-A5C0-814F1FA12A58}\RP31\A0008912.EXE --> Eliminado, Malware.Proyecto1

C:\System Volume Information\_restore{1EBAF5BB-A824-41FF-A5C0-814F1FA12A58}\RP31\A0008913.EXE --> Eliminado, Malware.Proyecto1

C:\System Volume Information\_restore{1EBAF5BB-A824-41FF-A5C0-814F1FA12A58}\RP35\A0010786.EXE --> Eliminado, Malware.Proyecto1



Wed Jun 06 12:21:33 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Wed Jun 06 12:22:08 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Wed Jun 06 12:43:24 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jun 06 12:43:29 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Jun 06 12:47:04 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\System Volume Information\_restore{1EBAF5BB-A824-41FF-A5C0-814F1FA12A58}\RP35\A0010869.EXE --> Eliminado, Malware.Proyecto1



Wed Jun 06 12:47:14 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Wed Jun 06 12:47:18 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

F:\System\Memory\AUTORUN.EXE --> Eliminado, Malware.Proyecto1



Espero que les sea de ayuda

[msc hotline sat]

Pues ya ve que es muy importante siempre probar las ultimas versiones de todas las utilidades, pues con ellas se controla no ultimo conocido



Y parece que se han detectado y eliminado los malwares conocidos, por lo que damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 7-06-2007