Ayuda, tengo el virus Z058_jpg

sareo · Mensaje por **sareo** » 05 Sep 2007, 01:37

Hola, pues desde ayer me metieron este virus que se propaga a través del messenger a todos mis contactos. He pasado varios antivirus y nada, ya no se que hacer y me he animado a registrarme.

¿Me podéis ayudar? Muchas gracias! :wink:

Mensaje por **msc hotline sat** » 05 Sep 2007, 05:00

Si, ya está controlado como indicamos en otros Temas (se recomienda usar el buscador del foro...)

[quote="msc"]
Recibida muestra del Z058_jpg se trata de un SDBOT que pasamos a controlar como tal a partir del 3.82 del ELITRIIP de hoy

saludos

ms, 3-09-2007"[/quote]

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 5-09-2007

sareo · Mensaje por **sareo** » 05 Sep 2007, 20:40

[quote="msc hotline sat"]Si, ya está controlado como indicamos en otros Temas (se recomienda usar el buscador del foro...)

[quote="msc"]
Recibida muestra del Z058_jpg se trata de un SDBOT que pasamos a controlar como tal a partir del 3.82 del ELITRIIP de hoy

saludos

ms, 3-09-2007"[/quote]

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 5-09-2007[/quote]

Siento no haber usado la busqueda :oops:

Pues me pone lo siguiente después de hacer la exploración a C:

----------------------------

Wed Sep 05 20:21:08 2007

EliTriIP v3.83 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WDFMGR.EXE --> Renombrado a .VIR

C:\WINDOWS\Z058_JPG.ZIP --> Eliminado

Entrada Eliminada [HKLM\...\Run] "wdfmgr.exe"="C:\WINDOWS\wdfmgr.exe"

Wed Sep 05 20:24:34 2007

EliTriIP v3.83 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Cesar.AMD64X2\Desktop\Test Drive unlimited crack [NoCD] - Multilanguage - (http://www.emule-paradise.com)\Crack\crack.exe --> Eliminado, Bifrose (dropper)

C:\Documents and Settings\Cesar.AMD64X2\My Documents\Mis archivos recibidos\Z058_jpg.zip --> Eliminado, SdBot.worm.gen.L

C:\WINDOWS\WDFMGR.EXE.VIR --> Eliminado, SdBot.worm.gen.L

Wed Sep 05 20:38:00 2007

EliTriIP v3.83 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por lo que estoy viendo aún tengo los archivos y el icono en mi ordenador.

¿Ahora que tengo que hacer?

Mensaje por **msc hotline sat** » 05 Sep 2007, 21:14

Pues no deberías ... :?

El infosat dice que ha eliminado los ficheros

por accion directa:

C:\WINDOWS\Z058_JPG.ZIP --> Eliminado

por expoloracion:

C:\Documents and Settings\Cesar.AMD64X2\My Documents\Mis archivos recibidos\Z058_jpg.zip --> Eliminado, SdBot.worm.gen.L

C:\WINDOWS\WDFMGR.EXE.VIR --> Eliminado, SdBot.worm.gen.L

Reinicia y dinos cuales ves aun con dicho icono, a ver si se han regenerado o son otros de una variante no controlada, que tuvieras dos familias viricas en lugar de una sola, y necesitemos muestras de la segunda para controlarla tambien, todo es posible ...

saludos

ms, 5-09-2007

sareo · Mensaje por **sareo** » 05 Sep 2007, 21:31

[quote="msc hotline sat"]Pues no deberías ... :?

El infosat dice que ha eliminado los ficheros

por accion directa:

C:\WINDOWS\Z058_JPG.ZIP --> Eliminado

por expoloracion:

C:\Documents and Settings\Cesar.AMD64X2\My Documents\Mis archivos recibidos\Z058_jpg.zip --> Eliminado, SdBot.worm.gen.L

C:\WINDOWS\WDFMGR.EXE.VIR --> Eliminado, SdBot.worm.gen.L

Reinicia y dinos cuales ves aun con dicho icono, a ver si se han regenerado o son otros de una variante no controlada, que tuvieras dos familias viricas en lugar de una sola, y necesitemos muestras de la segunda para controlarla tambien, todo es posible ...

saludos

ms, 5-09-2007[/quote]

Pues acabo de reiniciar y te digo donde tengo los iconos del virus, aunque acabo de poner el messenger para saber si sigue activo el virus.

Si doy a inicio de windows me sale arriba el icono con nombre "del".

Si voy a C: tengo un archivo con el mismo icono con nombre "5g9p7x1h4a3"

Si voy a C:\Program Files\Common Files tengo una carpeta con el nombre "delsim" que está oculta, dentro tengo un archivo con el mismo icono y con el nombre de "del"

Por el momento con el messenger puedo hablar sin problemas, de momento no estoy enviando el virus, pero no se que hacer, ¿Los borro a capón?

Mensaje por **msc hotline sat** » 05 Sep 2007, 21:33

No, mejor los renombras a extension .VIR y nos los envias, y veremos lo que son, para programar la eliminaicon de estos restos en nuestras utilidades

saludos

ms, 5-09-2007

sareo · Mensaje por **sareo** » 05 Sep 2007, 21:39

[quote="msc hotline sat"]No, mejor los renombras a extension .VIR y nos los envias, y veremos lo que son, para programar la eliminaicon de estos restos en nuestras utilidades

saludos

ms, 5-09-2007[/quote]

Vale, ¿Entonces os envío los renombrados o los originales? ¿Me quedo en el ordenador los renombrados y no los borro? ¿Como los renombro (cambiar nombre .VIR y ya está)?

¿Como te los envío?

Este es el icono del virus que de momento no me está dando problemas en el messenger:

[img]http://img405.imageshack.us/img405/5963/dibujotb7.png[/img]

Mensaje por **lucl** » 05 Sep 2007, 22:20

Los renombras poniendoles solo extension .VIR como bien apuntas, y los envias siguiendo las indicaciones de este link

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y dejalos con extension vir hasta que te indiquen algo al respecto, saludos

sareo · Mensaje por **sareo** » 06 Sep 2007, 01:01

¿Entonces que hago?

Por cierto, de momento mi messenger funciona perfecto y ya no envía el virus!!! Aunque sigo teniendo los iconos y los archivos como dije antes.

Mensaje por **msc hotline sat** » 06 Sep 2007, 05:41

Creo que solo son restos, pero de lo que se trata es de ver lo que son e implementar en las proximas versiones del ELISTARA su eliminacion automatica, si procede.

Por ello envianos dichas muestras, no hace falta que les cambies la extension para ello, solo hazlo en los que queden en tu máquina mientras analizamos las muestras, en funcion de ello, procederemos

saludos

ms, 6-09-2007

sareo · Mensaje por **sareo** » 06 Sep 2007, 16:02

[quote="msc hotline sat"]Creo que solo son restos, pero de lo que se trata es de ver lo que son e implementar en las proximas versiones del ELISTARA su eliminacion automatica, si procede.

Por ello envianos dichas muestras, no hace falta que les cambies la extension para ello, solo hazlo en los que queden en tu máquina mientras analizamos las muestras, en funcion de ello, procederemos

saludos

ms, 6-09-2007[/quote]

Bueno, pues ya te he enviado los archivos 2 veces.

En el primer mensaje sin estar comprimidos y me ponía que a lo mejor no llegaba por el antivirus y la segunda vez comprimidos en winrar, que no me ha puesto pegas.

Los que se han quedado en mi ordenador los he puesto con extensión .VIR

¿Tengo que hacer algo más?

Mensaje por **lucl** » 06 Sep 2007, 17:04

pues ahora ya esperar que analicen las muestras y te digan algo al respecto , estate atento a tu post, saludos

Mensaje por **msc hotline sat** » 06 Sep 2007, 17:13

Los dos ficheros recibidos contienen el mismo código, y pasamos a controlarlo como dialer DELSIM, con el ELISTARA 14.59 de hoy, que estará disponible en esta web para evaluacion del foro a las 19 h GMT

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 6-09-2007