oso.exe, win 98 y los archivos ocultos!!!!

rcototorres · Mensaje por **rcototorres** » 11 Jun 2007, 16:38

Hace unas semanas limpie una computadora que opera con win 98. Dicha PC estaba infectada con el virus oso.exe y otros más. Logre eliminarlos con éxito pero la funcion de ver y ocultar archivos ocultos quedo inutilizada.

El problema es que no puedo formatearla por mil y un razones que me da el dueño, entonces si alguien me puede asistir para poder habilitar la funcion sería un gran cosa

Muchas gracias!!!!!

Mensaje por **msc hotline sat** » 11 Jun 2007, 17:33

No sé el antivirus que usó para eliminar este virus, pero lo que está claro es que no restauraron todas las claves que toquetearon, que son muchas:

[quote="Per"] Slurk (Peligrosidad: 1 - Mínima)

Slurk es un gusano que se propaga a través de servicios de Internet e infecta las unidades de disco removibles y de redes con recursos compartidos. Deshabilita antivirus y software de seguridad, termina procesos y servicios. Desestabiliza la seguridad de Windows. También modifica el archivo HOSTS para impedir el acceso a sitios web relacionados a software antivirus.

Solución

Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de 'Restauración del Sistema' para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Ayuda para utilizar la opción de Restauración en Windows XP.

Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar restauración del sistema en Windows Me o en Windows XP.

Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.

Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero. Para más información consulte Eliminar librerías .DLL o .EXE.

A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Datos Técnicos

Peligrosidad: 1 - Mínima Difusión: Baja Fecha de Alta:09-06-2007

Última Actualización:09-06-2007

Daño: Medio

[Explicación de los criterios] Dispersibilidad: Medio

Nombre completo: Worm.W32/Slurk@SMB

Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores

Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003

Mecanismo principal de difusión: [SMB] - Se difunde por carpetas compartidas de red de Microsoft.

Alias:W32/Slurk (PerAntivirus)

Detalles

Al activarse se copia a la carpeta %System% con los nombres de archivos:

%System%\alligt.exe

%System%\severe.exe

%System%\drivers\conime.exe

%System%\drivers\nkruls.exe

%System%\hx1.bat

%System%\noruns.reg

El gusano libera una copia de un archivo capturador de información en la ruta:

%System%\alligt.dll

Para activarse la próxima vez que se re-inicie el sistema crea las llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"alligt" = "%System%\severe.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"nkurls" = "%System%\alligt.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell" = "Explorer.exe %System%\drivers\conime.exe

Nota:%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para deshabilitar diversos antivirus y software de seguridad crea las llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\Rav.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\avp.com]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\avp.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft

\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\runiep.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\adam.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\Ras.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\regedit.com]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\msconfig.com]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\PFW.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe]

"Debugger" = "%System%\drivers\nkruls.exe"

Para desestabilizar la seguridad del sistema crea las sub-llaves:

[HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\

explorer\advanced\folder\hidden\showall]

"Checked Value" = "0"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun" = "b5"

Al siguiente inicio del equipo el gusano termina los siguientes procesos:

sc.exe

cmd.exe

net.exe

sc1.exe

net1.exe

PFW.exe

Kav.exe

KVOL.exe

KVFW.exe

adam.exe

qqav.exe

qqkav.exe

TBMon.exe

kav32.exe

kvwsc.exe

CCAPP.exe

KRegEx.exe

kavsvc.exe

VPTray.exe

RAVMON.exe

EGHOST.exe

KavPFW.exe

SHSTAT.exe

RavTask.exe

TrojDie.kxp

Iparmor.exe

MAILMON.exe

MCAGENT.exe

KAVPLUS.exe

RavMonD.exe

Rtvscan.exe

Nvsvc32.exe

KVMonXP.exe

Kvsrvxp.exe

CCenter.exe

KpopMon.exe

RfwMain.exe

KWATCHUI.exe

MCVSESCN.exe

MSKAGENT.exe

kvolself.exe

KVCenter.kxp

kavstart.exe

RAVTIMER.exe

RRfwMain.exe

FireTray.exe

UpdaterUI.exe

KVSrvXp_1.exe

RavService.exe

asi como tambien los siguientes servicios:

srservice

sharedaccess

KVWSC

KVSrvXP

kavsvc

RsCCenter

RsRavMon

Al infectar el archivo HOSTS le antepone el valor 127.0.0.1 para impedir el acceso a sitios web de antivirus y software de seguridad:

127.0.0.1 localhost

127.0.0.1 mmsk.cn

127.0.0.1 ikaka.com

127.0.0.1 safe.qq.com

127.0.0.1 360safe.com

127.0.0.1 http://www.mmsk.cn

127.0.0.1 http://www.ikaka.com

127.0.0.1 tool.ikaka.com

127.0.0.1 http://www.360safe.com

127.0.0.1 zs.kingsoft.com

127.0.0.1 forum.ikaka.com

127.0.0.1 up.rising.com.cn

127.0.0.1 scan.kingsoft.com

127.0.0.1 kvup.jiangmin.com

127.0.0.1 reg.rising.com.cn

127.0.0.1 update.rising.com.cn

127.0.0.1 update7.jiangmin.com

127.0.0.1 download.rising.com.cn

127.0.0.1 dnl-us1.kaspersky-labs.com

127.0.0.1 dnl-us2.kaspersky-labs.com

127.0.0.1 dnl-us3.kaspersky-labs.com

127.0.0.1 dnl-us4.kaspersky-labs.com

127.0.0.1 dnl-us5.kaspersky-labs.com

127.0.0.1 dnl-us6.kaspersky-labs.com

127.0.0.1 dnl-us7.kaspersky-labs.com

127.0.0.1 dnl-us8.kaspersky-labs.com

127.0.0.1 dnl-us9.kaspersky-labs.com

127.0.0.1 dnl-us10.kaspersky-labs.com

127.0.0.1 dnl-eu1.kaspersky-labs.com

127.0.0.1 dnl-eu2.kaspersky-labs.com

127.0.0.1 dnl-eu3.kaspersky-labs.com

127.0.0.1 dnl-eu4.kaspersky-labs.com

127.0.0.1 dnl-eu5.kaspersky-labs.com

127.0.0.1 dnl-eu6.kaspersky-labs.com

127.0.0.1 dnl-eu7.kaspersky-labs.com

127.0.0.1 dnl-eu8.kaspersky-labs.com

127.0.0.1 dnl-eu9.kaspersky-labs.com

127.0.0.1 dnl-eu10.kaspersky-labs.com

Luego revisa todas la unidades de disco removibles y de recursos compartidos y se copia a cada una de ellas:

[Unidad_disco]:\autorun.inf

[Unidad_disco]:\OSO.exe

el gusano borra los archivos:

%System%\hx1.bat

%System%\noruns.reg

Finalmente cambia la fecha del sistema infectado a Enero 22, 2004

Más información acerca de este virus en:

PerAntivirus
[/quote]

Evidentemente vemos que intercepta la ejecucion de muchos ficheros, de los cuales hay el REGEDIT.EXE (y REGEDIT.COM por si se hubiera renombrado) y MSCONFIG.EXE (y tambien por lo mismo que antes el de igual nombre .COM) que quedan interceptados al borrar el fichero gusano. Esto debería haberlo restaurado el antivirus, pero si no ha hecho lo de restaurar claves modificadas, se supone que tampoco habrá restaurado estas

Ahora mismo, aparte de los dos de windows indicados, hay unos cuantos que son afectados y no funcionarán hasta que se restauren dichas claves

MagicSet.exe

Rav.exe

avp.com

avp.exe

KRegEx.exe

KvDetect.exe

KvXP.kxp

TrojDie.kxp

KVMonXP.kxp

IceSword.exe

mmsk.exe

WoptiClean.exe

kabaload.exe

360Safe.exe

runiep.exe

iparmo.exe

adam.exe

RavMon.exe

QQDoctor.exe

SREng.EXE

Ras.exe

msconfig.exe

regedit.exe

regedit.com

msconfig.com

PFW.exe

PFWLiveUpdate.exe

EGHOST.exe

NOD32.exe

y ademas la modificacion de estas claves:

[HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\

explorer\advanced\folder\hidden\showall]

"Checked Value" = "0"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun" = "b5"

Pues bien, ya sabe por qué llora la criatura... Sin muestra para monitorizar y comprobar el correcto funcionamiento de nuestra utilidad, se hace dificil y engorroso, aparte de inseguro, por eso le pedimos:

Muestra de este OSO.EXE si se la hubiera guardado

Marca del antivirus utilizado para su limpieza

Con ello obraremos en consecuencia

saludos

ms, 11-06-2007

rcototorres · Mensaje por **rcototorres** » 11 Jun 2007, 18:58

GRACIAS POR RESPONDER!!!! :D

EL ANTIVIRUS QUE UTILICÉ FUE AVAST HOME EDITION

Y CREO Q NO TENGO UNA COPIA DEL VIRUS, PERO EL ANTIVIRUS LO RECONOCE COMO: WIN32:LINEAGE-578 [TRJ]. ESPERO Q SEA SUFICIENTE INFORMACION

ADEMAS INTENTE UTILIZAR FIX MY REGISTRY, DE PCTOOLS, PERO LA OPCION DE VER ARCHIVOS OCULTOS NO SE HA REPARADO....

Mensaje por **msc hotline sat** » 11 Jun 2007, 19:06

No, claro, mira lo que indica PER sobre lo que toquetea...

Por lo visto AVAST no lo restaura

Dinos si te funciona el REGEDIT, simplemente haz un Inicio- Ejecutar -Regedit.exe y sal, solo para saber si va o no. (y nos lo dices)

El nombre cada cual le pone el que quiere, por esto hubiera interesado una muestra, asi sabriamos realmente lo que es y lo que hace.

De todas formas, miraremos de restaurarlo por teoría...

A ver qué nos dice sobre si le funciona o no el Regedit.exe, gracias

saludos

ms, 11-06-2007

rcototorres · Mensaje por **rcototorres** » 11 Jun 2007, 19:59

SI FUNCIONA O NO EL REGEDIT SE LOS DIRÉ HASTA EL MIERCOLES PORQUE HASTA EL MARTES TENDRÉ ACCESO A DICHA PC.

PERO POR EL MOMENTO LES AGRADEZCO EL INTERÉS!!!! :D

ESPERO QUE LE ENCONTREMOS UNA SOLUCION!!!!!

Mensaje por **msc hotline sat** » 11 Jun 2007, 20:03

Mañana lo intentaremos por teoria...

A las 20 h GMT de malana descargue y pruebe ELISTARA 14.18

SALUDOS

MS, 11-06-2007

rcototorres · Mensaje por **rcototorres** » 13 Jun 2007, 17:08

Hola!!!!

He regresado para avisar que la pc limpié tiene funcionando el regedit.exe. Puedo ingresar sin ningún problema.

Lo que no he probado es el programa que me sugirieron descargar (ELISTARA).

Mensaje por **msc hotline sat** » 13 Jun 2007, 17:12

Pues pruebalo a ver si termina de pulir las cosas toqueteadas, aunque lo hemos hecho por teoría, basandonos en la descripcion, al no disponer de muestra para analizar.

[quote]ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]

ya nos contarás...

saludos

ms, 13-06-2007

rcototorres · Mensaje por **rcototorres** » 13 Jun 2007, 17:25

Descargado!!!!!!!! :lol:

Probaré mañana y les cuento.

Mensaje por **msc hotline sat** » 13 Jun 2007, 20:22

Pues dejamos el Tema abierto hasta entonces.

saludos

ms, 13-06-2007

rcototorres · Mensaje por **rcototorres** » 15 Jun 2007, 17:10

Hola!

Aqui estoy otra vez, informando que el elistara no funcionó, me dió un mensaje de error el cual voy a adjuntar al mensaje. Además, Queria adjuntar el virus, pero parece que no se aceptan los archivos comprimidos!! :cry:

Mensaje por **msc hotline sat** » 15 Jun 2007, 20:15

2 cosas:

1ª .- No deben agregarse ni los txt ni los logs:

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

2ª .- Descargue la version actual que es la 14.21 y posteenos el c:\infosat.txt con un copiar y pegar, gracias

[quote]ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]

saludos

ms, 15-06-2007

Mensaje por **msc hotline sat** » 15 Jun 2007, 20:19

Y sobre enviarnos muestras de virus, claro que se aceptan ficheros comprimidos, es mas , se recomienda que se compriman con password VIRUS (opciones avanzadas del WINRAR)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 15-06-2007

rcototorres · Mensaje por **rcototorres** » 15 Jun 2007, 20:26

Entendido!

Pero ahora q ya conseguí una muestra del virus oso.exe no sé como enviarselas...

O será que ya no es necesario?????

Mensaje por **msc hotline sat** » 15 Jun 2007, 20:31

No decimos esto sino todo lo contrario, que nos lo envies empaquetado en un ZIP o RAR cpom password VIRUS, lo has entendido ???

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y dentro de dicho Tema, indicamos:

[quote]si hay problemas en el envio:

Para que el envio no sea interceptado por los antivirus, desactivando el antivirus residente o arrancando en modo seguro, empaquetar el fichero infectado en un ZIP o RAR con password "VIRUS" y asi se encriptará de manera que nadie lo detecte [/quote]

saludos

ms, 15-06-2007

Mensaje por **msc hotline sat** » 18 Jun 2007, 11:16

Recibidas dos muestras, la del OSO.EXE que pasamos a controlar con la version de hoy del ELISTARA 14.22 y la del AUTORUN.INF que lanza un AUTORUN.EXE, lo cual ya se controla con el actual ELITRIIP, pruebelo pero no solo en el disco duro, sino tambien en los pendrives, que es por donde viene...

Pero para introducir los pendrives en el port USB; hagalo pulsando simultaneamente la tecla shift, pues sino volverá a infectar el ordenador si conecta un pendrive infectado, y si el ordenador ya esta limpio, volvera a infectarlo y con elo infectará los pendrives que se inserten a continuacion...

Tenga cuidado en ello, que si no no se lo va a quitar de encima !

Recuerde esta tarde, a partir de las 20 h GMT, descargar el nuevo ELISTARA, 14.22 y entre este y el ELITRIIP solucionará el problema, si procede con cuidado y limpia todos los soportes infectados.

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 18-06-2007

Mensaje por **msc hotline sat** » 18 Jun 2007, 13:51

Recibido el OSO.EXE pasamos a controlarlo por cadenas.

Y vaya un pajaro... Crea tres hilos para que si se detiene uno sea restablecido por el otro y si los dos, por el otro...

Con dos hay alguno pero con tres no habiamos visto ninguno.

Aparte, crea claves que llaman a ficheros de nombres aleatorios , y que por teoria habiamos fijado unos que no sirven, claro. Ahora con la muestra enviada, pasamos a controlarlo como Dios manda !

Con el ELISTARA 14.22 que estamos haciendo se solucionará dicho virus, pruebelo a partir de las 20 h GMT y nos informa del resultado posteando contenido del infosat.txt, gracias

[quote]ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]

saludos

ms, 18-06-2007

rcototorres · Mensaje por **rcototorres** » 18 Jun 2007, 17:24

OK!

Lo descargaré, pero lo haré hasta mañana (19/06/07) a eso de las 15 GMT porque hasta ese dia volveré a tener contacto con la computadora de mi amigo.

Probaré ambos software, pero no c si el orden a la hora de correrlos importa?

Mensaje por **msc hotline sat** » 18 Jun 2007, 18:24

El ELISTARA Para el OSO y compañía, y el ELITRIIP para el del AUTORUN y los pendrive

Empiece con el ELISTARA Y cuando ya tenga eliminado este, procveda con el ELITRIIP sobre el disco duro y los pendrive, despues de limpiar el disco duro, pero no se olvide de pulsar shift al insertarlos !

Ya nos contará

(contenido del infosat.txt...)

saludos

ms, 18.06.2007

rcototorres · Mensaje por **rcototorres** » 20 Jun 2007, 20:41

Buen día!!!!

He eliminado con exito los efectos del virus oso.exe en la pc de mi amigo!

Pero parece ser q se ha vuelto a desconfigurar dicha pc; es una historia un poco larga, pero es mejor que vaya paso a paso.

1o. No voy a poder postear el InfoStat del elistara porque sobreescribí cuando corrí el elitriip :?

2o Pero el informe que arrojó el elitriip es:

Wed Jun 20 04:39:00 2007

EliStartPage v14.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\WINDOWS\SYSTEM\HX1.BAT --> Eliminado (Fichero Complementario).

Eliminada Clave "HKLM\...\Image File Execution Options\MagicSet.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Rav.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\avp.com"

Eliminada Clave "HKLM\...\Image File Execution Options\avp.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KRegEx.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KvDetect.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KvXP.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\TrojDie.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\KVMonXP.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\IceSword.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\mmsk.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\WoptiClean.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\kabaload.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\360Safe.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\runiep.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\iparmo.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\adam.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\RavMon.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\QQDoctor.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\SREng.EXE"

Eliminada Clave "HKLM\...\Image File Execution Options\Ras.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\msconfig.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\regedit.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\regedit.com"

Eliminada Clave "HKLM\...\Image File Execution Options\msconfig.com"

Eliminada Clave "HKLM\...\Image File Execution Options\PFW.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\PFWLiveUpdate.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\EGHOST.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\NOD32.exe"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jun 20 04:39:49 2007

EliStartPage v14.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Jun 20 04:41:04 2007

EliStartPage v14.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Wed Jun 20 04:41:29 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jun 20 04:41:34 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

3o Dado el error que cometí, me dispuse a limpiar la pc de donde obtuve la muestra del oso.exe. El resultado de dicha limpieza fue el siguiente:

elistara en el disco duro:

Tue Jun 19 17:28:53 2007

EliStartPage v14.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SEVERE.EXE --> Eliminado Slurk

C:\WINDOWS\SYSTEM32\DRIVERS\CONIME.EXE --> Eliminado Slurk

C:\ARCHIVOS DE PROGRAMA\MYWAYSA\SRCHASDE\DESRCAS.DLL --> Eliminado MyWay

C:\WINDOWS\SYSTEM32\HX1.BAT --> Eliminado (Fichero Complementario).

Eliminada Class, "{4D25F921-B9FE-4682-BF72-8AB8210D6D75}" -> C:\Archivos de programa\MyWaySA\SrchAsDe\deSrcAs.dll

Eliminada Class, "{4D25F924-B9FE-4682-BF72-8AB8210D6D75}" -> C:\Archivos de programa\MyWaySA\SrchAsDe\deSrcAs.dll

Eliminada Class, "{4D25F926-B9FE-4682-BF72-8AB8210D6D75}" -> C:\Archivos de programa\MyWaySA\SrchAsDe\deSrcAs.dll

Eliminada Clave "HKLM\...\Image File Execution Options\360Safe.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\adam.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\avp.com"

Eliminada Clave "HKLM\...\Image File Execution Options\avp.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\EGHOST.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\IceSword.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\iparmo.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\kabaload.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KRegEx.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KvDetect.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\KVMonXP.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\KvXP.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\MagicSet.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\mmsk.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\msconfig.com"

Eliminada Clave "HKLM\...\Image File Execution Options\msconfig.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\NOD32.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\PFW.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\PFWLiveUpdate.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\QQDoctor.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Ras.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Rav.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\RavMon.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\regedit.com"

Eliminada Clave "HKLM\...\Image File Execution Options\regedit.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\runiep.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\SREng.EXE"

Eliminada Clave "HKLM\...\Image File Execution Options\TrojDie.kxp"

Eliminada Clave "HKLM\...\Image File Execution Options\WoptiClean.exe"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Linea Eliminada del HOSTS --> 127.0.0.1 mmsk.cn

Linea Eliminada del HOSTS --> 127.0.0.1 ikaka.com

Linea Eliminada del HOSTS --> 127.0.0.1 safe.qq.com

Linea Eliminada del HOSTS --> 127.0.0.1 360safe.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mmsk.cn

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ikaka.com

Linea Eliminada del HOSTS --> 127.0.0.1 tool.ikaka.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.360safe.com

Linea Eliminada del HOSTS --> 127.0.0.1 zs.kingsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 forum.ikaka.com

Linea Eliminada del HOSTS --> 127.0.0.1 up.rising.com.cn

Linea Eliminada del HOSTS --> 127.0.0.1 scan.kingsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 kvup.jiangmin.com

Linea Eliminada del HOSTS --> 127.0.0.1 reg.rising.com.cn

Linea Eliminada del HOSTS --> 127.0.0.1 update.rising.com.cn

Linea Eliminada del HOSTS --> 127.0.0.1 update7.jiangmin.com

Linea Eliminada del HOSTS --> 127.0.0.1 download.rising.com.cn

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-us1.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-us2.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-us3.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-us4.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-us5.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-us6.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-us7.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-us8.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-us9.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-us10.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-eu1.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-eu2.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-eu3.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-eu4.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-eu5.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-eu6.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-eu7.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-eu8.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-eu9.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 dnl-eu10.kaspersky-labs.com

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

open=.\RECYCLER\RECYCLER\autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Tue Jun 19 17:29:29 2007

EliStartPage v14.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\TFIDMA.DLL --> Eliminado, Slurk(dll)

C:\WINDOWS\system32\TFIDMA.EXE --> Eliminado, Slurk

C:\WINDOWS\system32\VERCLSID.DAT --> Eliminado, Slurk

C:\WINDOWS\system32\drivers\ADAMRF.EXE --> Eliminado, Slurk

C:\WINDOWS\system32\drivers\CONIME.EXE --> Eliminado, Slurk

elitriip en el disco duro:

Tue Jun 19 17:36:04 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Tue Jun 19 17:36:12 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\KOfcpfwSvcs.exe --> Eliminado, BackDoor.CKB

elistara en el pendrive:

Tue Jun 19 17:39:45 2007

EliStartPage v14.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

open=.\RECYCLER\RECYCLER\autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Tue Jun 19 17:39:57 2007

EliStartPage v14.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\OSO.EXE --> Eliminado, Slurk

E:\ÖØÒª×ÊÁÏ.EXE --> Eliminado, Slurk

E:\ÃÀÅ®ÓÎÏ·.PIF --> Eliminado, Slurk

elitriip en el pendrive:

Tue Jun 19 17:40:47 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Tue Jun 19 17:40:52 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\autorun.inf --> Eliminado, BackDoor.CKB (inf)

E:\RECYCLER\RECYCLER\autorun.exe --> Eliminado, BackDoor.CKB

4o. Al parecer no me percaté que se me habia pegado un virus que se almacena en una carpeta Recycled y cuando volví a poner el pendrive en la pc de mi amigo e intenté entrar a la pendrive, el antivirus lanzó la alerta y no dejó que se activara el dichoso virus, pero ya no puedo ingresar haciendo doble click, tengo que entrar haciendo click derecho y seleccionando explorar :?

Les enviaré una muestra de este virus RECYCLED, pero mi duda es si será necesario crear un nuevo tema para hablar de este virus o seguimos en este?????

Mensaje por **msc hotline sat** » 21 Jun 2007, 11:54

Pues analizada la muestra del autorun.exe que nos has enviado, pasamos a controlar y eliminar otra variante del Backdoor CKB con el que está infectado, lo cual implementamos en la version 3.69 del ELITRIIP de hoy

A partir de las 20 h GT de hoy estará disponible en esta web para evaluacion

saludos

ms, 21-06-2007

rcototorres · Mensaje por **rcototorres** » 22 Jun 2007, 17:32

Buen día!

Gracias por todo lo que han hecho! Ha sido una gran cosa como han logrado controlar los virus y como han restaurado el funcionamiento de la pc que hace unas semanas estaba infectada!!!

La actualización que implementaron para la muestra que envié la descargaré hasta el martes 26 a eso de las 15:00 GMT porque hasta esa fecha volveré a tener contacto con mi amigo y su pc.

Por el momento me despido y les vuelvo a agradecer todo lo que han hecho!!!

Siguan así!!!!

Y a todos los foristas les deseo pocos virus en sus pc's!!! :wink:

Mensaje por **msc hotline sat** » 22 Jun 2007, 21:41

Pues dejamos este Tema abierto para que tras probar el ultimo ELISTARA que esté disponible, nos postees el contenido del infosat.txt

[quote]ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]

Al mismo tiempo nos comentas si tras ello persiste algun problema, gracias

saludos

ms, 22-06-2007

dogus · Mensaje por **dogus** » 25 Jun 2007, 00:20

Saludos!

la pregunta es... d donde C se bajan el elistara y el elitriip. En ningun link de los que dais se puede, y en google no sale nada de nada.

gracias!!!

pd: toi infectado por el bifrose.LA

Mensaje por **msc hotline sat** » 25 Jun 2007, 08:00

Pues para el BIFROSE prueba el ELITRIIP:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Y si no puedes desde esta maquina, pruebalo en otra y lo copias a esta y luego lo pruebas

Es posible que tengas configurado nivel de seguridad alto en el I.E. y ello impida descargas

Cuentanos el resultado, gracias

saludos

ms, 25-06-2007