PROBLEMA VIRUS MSFUN80.EXE

Responder
maton1200
Mensajes: 9
Registrado: 14 May 2007, 04:19

PROBLEMA VIRUS MSFUN80.EXE

Mensaje por maton1200 » 14 May 2007, 04:27

Hola a todos, les comento que yo tuve el virus MSFUN80.exe o "WORM_VB.CIU", el caso es q hice muchas cosas para erradicarlo, tanto que llego un momento en el que dañe algo de windows haciendo que el PC se reiniciara BRUSCAMENTE, en fin, formatie y vaya sorpresa, EL VIRUS NO SE QUITO, al parecer el virus se copio en mi otra particion de disco o en la tarjeta de memoria de mi celu, y se volvio a instalar, yo entonces baje un antivirus de esos version prueba que hay por ahi y elimine el virus.., pero :x el sistema como que se daño despues de eliminado el virus porke cada vez que iba a abrir C, le salia " abrir con.. ", y yo me puse a buscar en el registro y por todo lado rastros del virus pero nada.., el antivirus lo erradico... pero al parecer daño algo de windows, me toco restaurar sistema para volver a abrir mi disco normalmente, y pues en el momento estoy "conviviendo" con el virus y no afecta nada, solo que no me deja ver archivos y carpetas ocultos :evil: , por ahi lei una solucion, pero esa solucion exige encontrar un archivo de sistema llamado AUTORUN.INF el cual no encontre..



Alguien me podria colaborar plz??, si erradico el virus no me entra bien a C: disco local, y si no, me toca convivir con el..,

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 14 May 2007, 06:00

El AUTORUN.INF puede estar oculto...

viewtopic.php?f=5&t=13245

Y vigile con sus pendrive, tras formatear (con lo que el virus desaparecio del disco duro, claro), solo por insertar cualquiera de los pendrive infectados, se infectó de nuevo el ordenador...

Tras probar el ELITRIIP, informenos:

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


saludos

ms, 14-05-2007

maton1200
Mensajes: 9
Registrado: 14 May 2007, 04:19

Mensaje por maton1200 » 14 May 2007, 07:45

Sun May 13 23:01:29 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\AUTORUN.INF --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun May 13 23:01:59 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Sun May 13 23:02:14 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun May 13 23:48:42 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun May 13 23:49:12 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Sun May 13 23:49:53 2007

EliTriIP v3.53 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\







eso me boto el elitriip :? y ya trate de hacer todo el proceso y pude borrar el autorun.inf pero el anitivirus ahora no detecta nada

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 14 May 2007, 07:53

Claro que no encuentra el AUTORUN.INF, porque ya se lo hemos eliminado !:



"Lista de Acciones (por Acción Directa):

C:\AUTORUN.INF --> Eliminado"



y te faltan parches. Debes lanzar un windowsupdate y actualizarlos !!!



saludos



ms, 14-05-2007



nota: Introduce el pendrive pulsando SHIFT y lanza el ELITRIIP de nuevo EXPLORANDO dicha unidad y asi lo eliminaras de estas memorias RAM, y ya no infectarán. ms.

maton1200
Mensajes: 9
Registrado: 14 May 2007, 04:19

Mensaje por maton1200 » 14 May 2007, 19:58

quiere decir que si activo actualizaciones se solucionara mi problema :)? ... pues yo ya intente acabar con ese virus pero el antivirus no lo detecta, igual se ejecuta, lo puedo ver en los procesos ALGSRVS.exe o algo asi, aunke no me afecta pero no quiero estar infectado

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 14 May 2007, 20:10

No, los parches es para no tener mas problemas añadidos ! :roll:



Procese sus unidades (cuidado, insertarlos con el SHIFT!!!) pendrives con el ELITRIIP y cuentenos el resultado



saludos



ms, 14-05-2007

maton1200
Mensajes: 9
Registrado: 14 May 2007, 04:19

Mensaje por maton1200 » 15 May 2007, 05:03

el resultado es q sigo infectado :? aun despues de borrar el autorun.inf, los archivos del virus, registro, y la copia que hace el virus de si mismo en la otra particion..., el proceso algsrvs.exe se sigue abriendo y ni idea de cual sea el origen de este virus

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 15 May 2007, 05:34

Pues mire de enviarnos los siguientes ficheros, puede tratarse de una variante no controlada:

autorun.inf
algsrvs.exe
fun.xls.exe
msfun80.exe
msime82.exe

Para ello recordar: viewtopic.php?f=2&t=45334


Tras analizarlos implementaremos su control y eliminacion en la próxima version del ELITRIIP, de lo cual informaremos

saludos

ms, 15-05-2007

maton1200
Mensajes: 9
Registrado: 14 May 2007, 04:19

Mensaje por maton1200 » 16 May 2007, 03:55

Pues yo ya elimine TODO RASTRO DEL VIRUS, jeje sin antivirus, todo fue a punta de localizar los archivos, y las entradas de registro y borrar todo eso, pero ahora al parecer el virus hizo de las suyas antes de morir..



CUANDO VOY A ABRIR DISCO LOCAL C ME SALE : "ABRIR CON", siendo que yo ya borre el virus, alguna solucion o programa de reparacion de windos? :?: :?:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 16 May 2007, 06:47

Por esto pediamos los ficheros, para ver lo que modificaban y restaurarlo, pero si en lugar de enviarnoslos los has eliminado...

Prueba el ELIRESTR.VBS que utilizamos para restaurar algunas claves:

ELIRESTR:
http://www.zonavirus.com/descargas/elirestr.asp

Fijate que es VBS justamenmte para poder ejecutarlo en maquinas que tengan interceptado la ejecucion de EXE's

Y desactiva tu antivirus para descargarlo y para ejecutarlo, pues algunos dan falsos positivos, por las acciones víricas que hace (aunque sea al reves)

saludos

ms, 16-05-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 16 May 2007, 12:50

Recibida MUESTRA.RAR viene empaquetada con un pasword que no es VIRUS y no podemos desempaquetarlo



Por favor indicar el nombre que se ha utilizado como password , o si es VIRUS, señal que el fichero se ha dañado, en tal caso repetir el envio, gracias



saludos



ms, 16-05-2007

maton1200
Mensajes: 9
Registrado: 14 May 2007, 04:19

Mensaje por maton1200 » 16 May 2007, 20:47

PASSWORD: maton1200



pues ya solucione lo de ABRIR con, cambiandole el nombre a mis unidades de disco :) :) pero lo unico es que no puedo ver archivos y carpetas ocultos, eso fueron estragos del virus, a proposito,necesito unos datos de una memoria USB, la cual esta infectada, como hago para que al conectarla no se me vuelva a meter ese fastidioso virus del que he estado hablando?

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 16 May 2007, 20:52

Si la insertas pulsando la tecla SHIFT no se ejecuta el AUTORUN.INF, con lo cual no infecta.



Pues mañana trataremos de desempaquetar el RAR con el password indicado, pero vamos, que a todos decimos que se utilice VIRUS como password !!! ...



saludos



ms, 16.05-2007

maton1200
Mensajes: 9
Registrado: 14 May 2007, 04:19

Mensaje por maton1200 » 16 May 2007, 21:10

pues muchas gracias por su ayuda pero hay alguna manera de arreglar eso de ver archivos y carpetas ocultas?

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 16 May 2007, 21:20

hola maton, haz esto
Dentro de Mipc/Herramientas/Opciones de carpeta/Ver/Archivos y carpetas ocultos "selecciona Mostrar archivos y carpetas ocultos/aplicar/aceptar


saludos

maton1200
Mensajes: 9
Registrado: 14 May 2007, 04:19

Mensaje por maton1200 » 16 May 2007, 21:34

jeje por eso, yo intento hacer eso pero no se muestra nada :? , el virus como q se tiro eso

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 17 May 2007, 08:30

Es posible que alterara claves de sistema...



Dentro de un par de horas entraremos a trabajar en SATINFO y trataremos de desempaquetar el fichero y analizar los resultantes, ya informaremos



saludos



ms, 17-05-2007

maton1200
Mensajes: 9
Registrado: 14 May 2007, 04:19

Mensaje por maton1200 » 18 May 2007, 23:45

pues si altero claves de registro del sistema, cuales pudieron haber sido?, para yo poder restaurarlas o tratar de hacerlo

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 19 May 2007, 13:27

Prueba el nuevo ELISTAR 14.00 que hicimos ayer, en base a las muestras:



---v14.00-(18 de Mayo del 2007) (Muestras de (2)Vundo6(notify), DownLoader.ConHook "*****.DLL", BackDoor-CVT "WIN***32.DLL", (8)Swizzor(lop), NaviPromo(dropper), SpyRealtek "ALCXMNTR.EXE", Back/Afcore.F "MSXMNID.DLL" y DownLoader "LOADER.EXE")





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso









saludos



ms, 19-05.2007

MijaiL_
Mensajes: 8
Registrado: 14 Ago 2007, 08:39
Ubicación: Perú
Contactar:

Mensaje por MijaiL_ » 14 Ago 2007, 09:11

Hola a todos, antes que nada dejenme decirles que este es el primer foro al que me uno, y espero tener comprension por posibles torpesas mias, ya sea para subir archivos o preguntar, Gracias por su comprension.

En Fin, les escribo esperando una ayuda pronta y eficaz, ya que cuento con el mismo problema con el que contaba "maton1200" es exactamente igual, ya que no puedo ver archivos y carpetas ocultos si esq no lo hago con la opcion buscar, y eso significa que para verlos tengo q saber que estan ahi, porke no me sirve la opcion en herramientas>opciones de carpeta> ver>mostrar todos los archivos y carpetas ocultos, ni lo otro que lei en este mismo foro acerca de opciones muy parecidad pero desactivando lo de archivos del sitema,etc.

Luego lo mismo de abrir mis discos duros con "abrir con" lo cual es una molestia tremenda como ustedes comprenderan, debido a lo antes leido en este foro -muy bueno por cierto- se que necesitan como dato lo que me arroje el ELITRIIP, por eso lo adjunto aqui debajo, esperando su Gentil y pronta ayuda.





Tue Aug 14 02:09:51 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\AUTORUN.INF --> Eliminado



Tue Aug 14 02:09:55 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[/code]
Adjuntos
InfoSat.txt
(382 Bytes) Descargado 22 veces
...м٥и†٥ўд ℓ٥þэž мιĵдιℓ...

MijaiL_
Mensajes: 8
Registrado: 14 Ago 2007, 08:39
Ubicación: Perú
Contactar:

Mensaje por MijaiL_ » 14 Ago 2007, 09:31

Disculpen por el doble mensaje, pues olvide mencionar lo siguiente:

1. En mi PC tampoco existe el Autorun.

2. Tambien tengo una memoria USB, la cual presenta problemas para sacarse, le doy en quitar hardware seguro y dice q no se puede, y tambien me muestra en vez de abrir "auto" cuando le doy click derecho, sino abre en otra ventana, esto me arrojo cuando le pase el ELITRIIP.





Tue Aug 14 02:27:39 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\AUTORUN.INF --> Eliminado



Tue Aug 14 02:27:47 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



y una consulta, que de cierto tiene esto?Lo lei en algun foro como respuesta al mismo tema, espero sea de ayuda tambien. Gracias.



[color=brown]En primer lugar el gusano que tienes es WORM_VB.CIU porque al insertar cualquier disco extraíble se copia ahí como FUN.xls.exe propagando la infección.

Bueno para eliminarlo abres el administrador de tareas (CTRL+ALT+SUPR) te vas a procesos y localizas los siguientes programas en ejecución:



- algsrvs.exe

- fun.xls.exe

- msfun80.exe

- msime82.exe



Seleccionalos y finalizalos, para comprobar que ya no están corriendo vuelve abrir el administrador de tareas y checa en procesos. Si no puedes finalizar alguno de ellos, reinicia tu PC en modo seguro.

Este malware modifica el registro de tu PC por lo tanto tendrás que modificarlo, en este caso repararlo.

Abre el editor de registro. Inicio>Ejecutar>regedit

en el panel izquierdo, doble click en el siguiente directorio



*/HKEY_CURRENT_USER>Software>Microsoft>Windows>

CurrentVersion>Run/*



En el panel derecho, localiza y elimina la siguiente entrada:



*/MsServer = "msfun80.exe"/*



En el panel izquierdo, doble click en:



*/HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>

CurrentVersion>Run/*



En el panel derecho, localiza y elimina la siguiente entrada:



*/IMJPMIG8.2 = "msime82.exe"/*



Cierra el registro.



Ahora restaurarás el AUTORUN.INF ya que también queda infectado.

Te vas a Inicio>Buscar y busca lo siguiente:



*/AUTORUN.INF/*



Seleccionalo y ábrelo con Bloc de Notas

Revisa si las siguientes líneas se encuentran presentes en el archivo:



*/[AutoRun]

open=fun.xls.exe

shellexecute=fun.xls.exe

shell\Auto\command=fun.xls.exe

shell=Auto

[VVflagRun]

aabb=kdkfjdkfk1/*



Si las líneas se encuentran, borra el archivo.

Escanea tu PC y si detecta el gusano WORM_VB.CIU, elimínalo.[/color]
...м٥и†٥ўд ℓ٥þэž мιĵдιℓ...

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 14 Ago 2007, 10:00

hola mijail, debes abrir un post nuevo puesto que este ya esta aparcado hace tiempo y ademas es de otro forero, a parte de eso decirte que cuando abras el post nuevo nos pongas el log de elistara y elitriip pasandolos con el pc arrancado en modo seguro a ver si te detectan el worm o al menos te lo renombran y piden su analisis, saludos



http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

MijaiL_
Mensajes: 8
Registrado: 14 Ago 2007, 08:39
Ubicación: Perú
Contactar:

Mensaje por MijaiL_ » 14 Ago 2007, 10:08

Bueno gracias por su pronta respuesta, aunq estoy con sueño :shock: porq aca en peru son las 3:07am, me interesa este tema, y bueno en realidad nose como abrir un nuevo post y tampoco que nombre ponerle para que lo reconozca usted y me atienda, en seguida hare lo propio con el Elitriip y Elistara.

espero sus indicaciones, Gracias.
...м٥и†٥ўд ℓ٥þэž мιĵдιℓ...

Responder

Volver a “Foro Virus - Cuentanos tu problema”