virus auto.exe

[DAVICO]

Hola, bueno hay un auto.exe debe de ser virus, que lentea las pc de la cabina de Internet donde trabajo son algo de 35 maquinas, en esta semana se ha lenteado demasiado en algunas maquinas ni entraba internet hasta el MSN no se podia conectar, necesito una ayuda es mas estoy pensando formatear toda las PCS nose que sucede, pase el NOD32, tambien el spybot... espero una ayuda pronta por favor

[DAVICO]

encontre un programita bueno algo asi:



c:\j7q1c4v1i6s4.exe



decia: DIALER SOFTWARE (Modificado)



quisiera una solución para matarlo ya que ningun antivirus lo hizo ni el kaspersky....

[msc hotline sat]

Pues envianos este AUTO.EXE Y EL c:\j7q1c4v1i6s4.exe

y los analizaremos e implementaremos su control y eliminacion, si procede, en proxima version del ELISTARA





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 27-08-2007

[DAVICO]

el auto.exe:



Tue Aug 28 07:09:52 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=auto.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=auto.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

open=auto.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (F)

open=auto.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Aug 28 07:12:00 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Aug 28 07:14:00 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Tue Aug 28 07:14:06 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Tue Aug 28 07:14:15 2007

EliStartPage v14.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

[msc hotline sat]

Pues efectivamente, es un virus de pendrive que se copia en estas unidades cuando se ponen en un pordenador infectado, y que cuando se llevan estos pendrives ya infectados a otro ordenadro, solo por insertarlos ya infectan al ordenador al autoejecutar el AUTORUN:INF



Con la version 14.53 del ELISTARA de hoy ya se controlará esta variante y se eliminará.



Primero pruebala en el ordenador, y una vez limpio, insertas el pendrive pulsando simultaneamente el SHIFT (mayusculas) para anular la autoejecucion, y asi no vuelvas a infectar el PC



Tras ello, pruebas el ELISTARA explorando la unidad del USB y lo limpias.



saludos



ms, 29-08-2007

[DAVICO]

Bueno no pudo eliminar el auto.exe al inicio si lo eliminó pero despues me sale tambien el autorun.inf que nose puede eliminar sigue en la Maquina, paso el kaspersky hay un virus que esta metido en C:\windows\system32\B9623e7.dll



C:\windows\boiscu.exe : caballo de troya --> trojan-PSW.Win32.OnlineGames.arh <-- este mismo virus se metio al system32



c:\windows\boiscu.exe//PE_Patch.UPX//UPX

PSW.Win32.OnlineGames.arh



virus.win32.autorun.ju





me pide el kaspersky que reinicie lo reinicio pero luego se cambia la fecha del año a 2005 luego lo cambio a 2007 lo vuelvo a eliminar nose puede eliminar que hago :( ayudenme

[msc hotline sat]

Pues envienos dichos ficheros y los analizaremos:



C:\windows\system32\B9623e7.dll



C:\windows\boiscu.exe





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 2-09-2007

[DAVICO]

En otra maquina también tiene el auto.exe y también el autorun.inf lo pasé el elistará con la última version, pero no lo borró los 2 virus aqui mando el log:





Fri Aug 26 10:16:15 2005

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

open=auto.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

open=auto.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Aug 26 10:50:56 2005

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP39\A0030179.EXE --> Eliminado, PWS-OnLineGames.RZ

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP50\A0046148.EXE --> Eliminado, PWS-OnLineGames.RZ

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP50\A0046160.EXE --> Eliminado, PWS-OnLineGames.RZ

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP51\A0046158.EXE --> Eliminado, PWS-OnLineGames.RZ

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP51\A0046164.EXE --> Eliminado, PWS-OnLineGames.RZ

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP51\A0046167.EXE --> Eliminado, PWS-OnLineGames.RZ

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP51\A0046180.EXE --> Eliminado, PWS-OnLineGames.RZ

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP52\A0046307.EXE --> Eliminado, PWS-OnLineGames.RZ



Fri Aug 26 10:51:38 2005

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\TEL.XLS.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0044561.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0044563.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0044566.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0044568.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0044570.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0044571.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0045470.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0045483.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0045559.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0045592.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0045716.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0045798.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0045867.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0045900.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0045957.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0045991.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP49\A0046062.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP50\A0046086.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP50\A0046109.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP50\A0046132.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP50\A0046146.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP50\A0046158.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP51\A0046179.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP52\A0046304.EXE --> Eliminado, PWS-OnLineGames.RZ

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP39\A0031187.EXE --> Eliminado, PWS-OnLineGames.RZ



Fri Aug 26 10:52:19 2005

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Fri Aug 26 10:53:06 2005

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Aug 26 10:56:44 2005

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Fri Aug 26 10:57:00 2005

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Sat Aug 27 01:27:49 2005

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Aug 27 01:28:11 2005

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sat Aug 27 01:37:42 2005

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\AUTORUN.INF --> Eliminado, Winko(inf)

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP52\A0046306.INF --> Eliminado, Winko(inf)

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP39\A0031207.INF --> Eliminado, Winko(inf)



Sat Aug 27 01:47:27 2005

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\AUTORUN.INF --> Eliminado, Winko(inf)

E:\Recycled\DE2.INF --> Eliminado, Winko(inf)

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP38\A0027949.INF --> Eliminado, Winko(inf)

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP39\A0031214.INF --> Eliminado, Winko(inf)

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP52\A0046309.INF --> Eliminado, Winko(inf)



Sat Aug 27 01:48:31 2005

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Sat Aug 27 01:48:38 2005

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\AUTORUN.INF --> Eliminado, Winko(inf)



Sat Aug 27 01:57:54 2005

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\AUTORUN.INF --> Eliminado, Winko(inf)



Sat Aug 27 01:58:50 2005

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

[msc hotline sat]

No vemos que tengas ningun AUTO.EXE, sino llamadas a los mismos en AUTORUN.INF:



Detectado AUTORUN.INF en la Unidad (D)

open=auto.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

open=auto.exe



En unidades D: y E:



Dinos lo que son estas unidades, si lectoras de CD o unidades USB



Pero aun con dichas llamadas, no se detecta ningun AUTO.EXE infectado... mira con un Inicio -> Buscar AUTO.EXE si encuentras alguno, y si es el caso, envianos muestra para analizar:





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 2-09-2007

[DAVICO]

el disco D: y E: son discos duros

[lucl]

Por si te sirve para encontrarlos un forero dijo esto





Las carpetas que tienen las memorias las convierte e ejecutables y no las muestra pero si entro desde la barra de direcciones poniendo el nombre de la carpeta si estan todos los archivos es la unica forma de entrar a los archivo

espero que les sirva el dato



si los encuentras envia, saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[DAVICO]

Muestro aqui el log de lo que pase el Elistara:



Mon Aug 29 06:23:53 2005

EliStartPage v12.83 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\FBI.DLL.Muestra EliStartPage v12.83

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FBI.DLL --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "svchost"="C:\WINDOWS\udll.exe"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Aug 29 21:04:09 2005

EliStartPage v12.83 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Mon Aug 29 21:41:39 2005

EliStartPage v12.83 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Screensavers.com\Installer\bin\SIUNINST.EXE --> AutoExtraible

C:\Archivos de programa\Starware\STARWAREUNINSTALL.EXE --> AutoExtraible



Sat Sep 03 01:32:33 2005

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Sep 03 01:32:45 2005

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.INF --> Eliminado, Winko(inf)



Sat Sep 03 01:37:08 2005

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\AUTORUN.INF --> Eliminado, Winko(inf)

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP39\A0031220.INF --> Eliminado, Winko(inf)

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP44\A0043063.INF --> Eliminado, Winko(inf)



Sat Sep 03 01:39:30 2005

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\AUTORUN.INF --> Eliminado, Winko(inf)

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP44\A0043064.INF --> Eliminado, Winko(inf)



Sat Sep 03 01:39:54 2005

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.INF --> Eliminado, Winko(inf)

Exploración Detenida por el Usuario.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Sat Sep 03 02:43:56 2005

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\RSJZAPM.DLL.Muestra EliStartPage v14.60

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\RSJZAPM.DLL --> Renombrado a .VIR

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Sep 03 02:44:46 2005

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.INF --> Eliminado, Winko(inf)



Sat Sep 03 03:05:28 2005

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\AUTORUN.INF --> Eliminado, Winko(inf)

D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP44\A0046061.INF --> Eliminado, Winko(inf)



Sat Sep 03 03:09:04 2005

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\AUTORUN.INF --> Eliminado, Winko(inf)

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP44\A0046063.INF --> Eliminado, Winko(inf)



Sat Sep 03 03:10:05 2005

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Instalada Utilidad "ELINOTIF.DLL"

[lucl]

los ultimos analisis los hiciste el 3 de septiembre? si es asi pasalo de nuevo con la ultima version, saludos

[DAVICO]

lo que sucede que esa maquina esta clonada, la fecha nose puede cambiar lo que pase el Elistara es de hoy día apenas publiqué el anterior log, esa pc esta clonada con otra con el programita BetWin Terminal Services el dueño de este cybercafe me dijo que nose puede modificar la fecha porque lo desconfigura lo clonado es por eso que se queda con esa misma fecha....



me salio este mensaje al pasar con Elistara:



Sistema infectado por troyanos de AppInit puede requerir Arrancar en consola de Reparación para eliminarlo...



eso no significa arrancar en MODO SEGURO? pues eso mismo lo hise pero de nuevo me sale ese mensaje quisiera que me digan porque es... aunque el AutoRun.inf sigue saliendo como virus winko(inf)

[msc hotline sat]

Una de las muestras ya está excluida con el actual ELISTARA y la otra muestra pasamos a detectarla como PWS - Lineage con el nuevo ELISTARA 14.61



Pruebalo y nos comentas el resultado



Luego, tienes un AUTORUN.INF que se te regenera y al parecer hay una variante de WINKO no controlado. Envianos este AUTORUN.INF y el fichero que veras se lnaza en él. abriendolo con el bloc de notas, y los controlaremos como corresponde



saludos



ms, 12-09-2007

[DAVICO]

Aqui envio el log pasado con el elistara, bueno en esta máquina lo pase AVG pero esta en ingles trato de colocarlo al español pero no quiere, si paso el kaspersky lo mata el sistema en cambio en otras PC normal se puede, el NOD32 las firmas aparecieron como caducadas, que antivirus me recomienda?



===============================================



D:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP9\A0002445.INF --> Eliminado, Slurk(inf)



Sun Sep 16 09:35:04 2007

EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\AUTORUN.INF --> Eliminado, Worm.VB.EL(inf)

E:\System Volume Information\_restore{BA258F70-55AE-4216-8E09-D6B191AB8054}\RP9\A0002446.INF --> Eliminado, Worm.VB.EL(inf)

[lucl]

debes poner los textos completos del infosat, te falta parte , ponlo por favor, gracias, saludos

[DAVICO]

eso es lo unico que detecto el elistara, creo que formateare el esa PC ya ni puedo entrar a: msconfig

[msc hotline sat]

El ELISTARA primero indica lo detectado por accion Directa, y no sabemos si solo figuraba la linea del Slurk(inf) , selecciona todo su contenido y posteanoslo, gracias



Y mira si puedes arrancar en modo seguro con funciones de red, y si es asi procederemos con Antivirus ONLINE



Sino, sugeriria una REPARACION de sistema, antes de lo que propones, para no perder la informacion, tu mismo



saludos



ms, 16-09-2007

[msc hotline sat]

Recibido fichero AUTORUN que llama a un OSO.EXE, envienos los dos ficheros, el AUTORUN.INF y el OSO.EXE para su analisis:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 17-09-2007

[edshon]

[quote="msc hotline sat"]
[b]sugeriria una REPARACION de sistema[/b], antes de lo que propones, para no perder la informacion, tu mismo



saludos



ms, 16-09-2007[/quote]

¿COMO REPARO EL SISTEMA? ya que eh visto que ese virus ah dañado archivos de sistema como los de la carpeta Windows, System y System32 y como les comente no puedo entrar al REGEDIT, MSCONFIG ni al GPEDIT.MSC, y les vuelvo a preguntar:



¿[b][color=blue]COMO HAGO PARA RECUPERAR ó RESTAURAR[/color][/b], para que mi sistema funcione NORMALMENTE, como lo estaba antes que tenia el windows?

ya que el antivirus elimina archivos infectados incluidos los del sistema. . . . como hago para recuperar mis archivos originales del mismo windows.



ESPERO QUE ME PUEDAS AYUDAR . . CON QUE HERRAMIENTAS HARIA ESO.



[b]SALUDOS[/b] 8)

[msc hotline sat]

No sé qué tiene que ver edshon con DAVICO, si bien vemos que los dos postean desde Peru.



Pero se contesta para todos los interesados al respecto:




[quote="para REPARAR WINDOWS, msc"]

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



saludos



ms, 17-09-2007