Recurro a ustedes dado que he tenido dos infecciones de mis equipos en poco tiempo, perdiendo toda mi informacion, los archivos se encriptaron y se les adciono la extension .mp3, logre aparcar el virus con elistara, pero lo que me preocupa y supongo que a muchos profesionales de TI es la manera que ataca ya que al parecer ya no entra con algun correo con un adjunto o una liga, o por un agujero de explorador. Tampoco se ejecuto ningun archivo malicioso, y al parecer se lanza cuando se reinicia el equipo. envio muestras e infosat y agradezco el apoyo brindado asi como tambien espero algun consejo para que esto no pase mas.
Saludos y muchas gracias
(4-3-2016 17:30:27 (GMT))
EliStartPage v34.08 (c)2016 S.G.H. / Satinfo S.L. (Actualizado el 4 de Marzo del 2016)
--------------------------------------------------
Sistema Operativo: Windows 7 Professional (6.1.0) (64 bits)
Usuario: admin
ID de Usuario: S-1-5-21-2066015308-3711690954-2985932361-1000
Cadenas Víricas: 25357
Lista de Acciones (por Acción Directa):
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.html --> Eliminado (Fichero Complementario).
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.png --> Eliminado (Fichero Complementario).
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.txt --> Eliminado (Fichero Complementario).
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.html --> Eliminado (Fichero Complementario).
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.png --> Eliminado (Fichero Complementario).
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.txt --> Eliminado (Fichero Complementario).
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.html --> Eliminado (Fichero Complementario).
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.png --> Eliminado (Fichero Complementario).
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.txt --> Eliminado (Fichero Complementario).
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.html --> Eliminado (Fichero Complementario).
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.png --> Eliminado (Fichero Complementario).
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.txt --> Eliminado (Fichero Complementario).
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.html --> Eliminado (Fichero Complementario).
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.png --> Eliminado (Fichero Complementario).
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.txt --> Eliminado (Fichero Complementario).
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.html --> Eliminado (Fichero Complementario).
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.png --> Eliminado (Fichero Complementario).
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.txt --> Eliminado (Fichero Complementario).
Detectado HOSTS no Standar.
Restaurado HOSTS por el Original.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(4-3-2016 17:30:32 (GMT))
EliStartPage v34.08 (c)2016 S.G.H. / Satinfo S.L. (Actualizado el 4 de Marzo del 2016)
--------------------------------------------------
Sistema Operativo: Windows 7 Professional (6.1.0) (64 bits)
Usuario: Administrador
ID de Usuario: S-1-5-21-2066015308-3711690954-2985932361-500
Cadenas Víricas: 25357
Lista de Acciones (por Acción Directa):
C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.html --> Eliminado (Fichero Complementario).
C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.png --> Eliminado (Fichero Complementario).
C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.txt --> Eliminado (Fichero Complementario).
C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.html --> Eliminado (Fichero Complementario).
C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.png --> Eliminado (Fichero Complementario).
C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.txt --> Eliminado (Fichero Complementario).
C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.html --> Eliminado (Fichero Complementario).
C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.png --> Eliminado (Fichero Complementario).
C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.txt --> Eliminado (Fichero Complementario).
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(4-3-2016 17:31:59 (GMT))
EliStartPage v34.08 (c)2016 S.G.H. / Satinfo S.L. (Actualizado el 4 de Marzo del 2016)
--------------------------------------------------
Sistema Operativo: Windows 7 Professional (6.1.0) (64 bits)
Usuario: mhernandez
ID de Usuario: S-1-5-21-635439897-2623938120-3078492235-2957
Cadenas Víricas: 25357
Lista de Acciones (por Acción Directa):
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\CSMLIVBQYTJX.EXE.Muestra EliStartPage v34.08
a "
C:\WINDOWS\CSMLIVBQYTJX.EXE --> Eliminado
C:\Users\mhernandez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.html --> Eliminado (Fichero Complementario).
C:\Users\mhernandez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.png --> Eliminado (Fichero Complementario).
C:\Users\mhernandez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.txt --> Eliminado (Fichero Complementario).
C:\Users\mhernandez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.html --> Eliminado (Fichero Complementario).
C:\Users\mhernandez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.png --> Eliminado (Fichero Complementario).
C:\Users\mhernandez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.txt --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKUS\S-1-5-21-635439897-2623938120-3078492235-2957\...\Run] "MAIKEYK"="C:\Windows\system32\CMD.EXE /c start C:\Windows\csmlivbqytjx.exe"
Entrada Eliminada [HKUS\S-1-5-21-635439897-2623938120-3078492235-2957\...\Run] "RPDTWPU"="C:\Windows\system32\CMD.EXE /c start C:\Windows\csmlivbqytjx.exe"
Entrada Eliminada [HKUS\S-1-5-21-635439897-2623938120-3078492235-2957\...\Run] "SGBKJCQ"="C:\Windows\system32\CMD.EXE /c start C:\Windows\csmlivbqytjx.exe"
Entrada Eliminada [HKUS\S-1-5-21-635439897-2623938120-3078492235-2957\...\Run] "ATENCLP"="C:\Windows\system32\CMD.EXE /c start C:\Windows\csmlivbqytjx.exe"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE