Protector.exe (SOLUCIONADO)

[mikmatcr]

El problema es el siguiente:



Cuando trato de abrir mi pendrive por doble click windows no me deja. Solo con click derecho y dando le a "abrir" se puede.

No es el virus zayle porque ya lo revise, me meti en DOS y me fije en los atributos del pendrive y me aparece un autorun y el protector.exe(estos archivos no estan visibles en el archivo raiz).







Mon Oct 01 06:11:03 2007

EliStartPage v14.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.



Mon Oct 01 06:11:16 2007

EliStartPage v14.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Mon Jan 01 00:01:15 1990

EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.



Mon Jan 01 00:01:22 1990

EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Jan 01 00:05:29 1990

EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Mon Jan 01 00:07:07 1990

EliStartPage v14.76 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LMIINIT] -> C:\WINDOWS\SYSTEM32\LMIinit.dll

C:\WINDOWS\SYSTEM32\LMIINIT.DLL --> RemoteAdmin(lmiinit) Renombrado a .VIR

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

shellexecute=protector.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Mon Jan 01 00:08:16 1990

EliStartPage v14.76 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\LogMeIn\x86\LMIINIT.DLL --> Eliminado, RemoteAdmin(lmiinit)

C:\WINDOWS\system32\LMIINIT.DLL.VIR --> Acceso Denegado, RemoteAdmin(lmiinit)



Mon Jan 01 00:14:00 1990

EliStartPage v14.76 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Mon Jan 01 00:02:36 1990

EliStartPage v14.76 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

shellexecute=protector.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Mon Jan 01 00:02:53 1990

EliStartPage v14.76 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\LMIINIT.DLL.VIR.VIR --> Eliminado, RemoteAdmin(lmiinit)

[msc hotline sat]

Pues procede con lo que iondica el infosat.txt:



"Detectado AUTORUN.INF en la Unidad (D)

shellexecute=protector.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN."



y para ello:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 4-10-2007

[mikmatcr]

Ya envie los archivos!!!!!

[msc hotline sat]

Recibida la muestra , efectivamente es una nueva variante de virus de pendrive.



Se implemente su control y eliminacion en el ELISTARA 14.78 que estamos haciendo, y que estará disponible en esta web a partir de las 19 h GMT de hoy, para pruebas de evaluacion en eñl foro de zonavirus.



Tras probarlo en el ordenador y explorar todo el disco duro, no olvidar los pendrives, que infectarían todos los ordenadores en los que se insertaran, los cuales inmfectarían mas pendrives... etc



PARA ELLO RECORDAR QUE DEBE PULSARSE LA TECLA SHIFT (mayusculas) CUANDO SE INSERTA EL PENDRIVE EN EL USB, para evitar que se ejecute el AUTORUN.INF .



Seleccionando la letra de la unidad USB, explorar con el ELISTARA 14.78 o superior y asi de eliminará tambien este virus , si estan infectados con él.



Una ver terminado el proceso, posteenos el contenido de C:\infosat.txt, gracias



saludos



mns, 5.10-2007

[mikmatcr]

Probè el elistara nuevo en la compu de un amigo que tambièn tenia el protector.exe y si me lo borro.



Aqui dejo el info.txt:





Sat Jun 03 04:09:20 2000

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Syslog"="C:\crsvc.exe"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

open=MSOCache\doWTP_RESTORE_0.exe -autorun

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sat Jun 03 04:10:23 2000

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.INF --> Eliminado, Letzel(inf)

C:\NTKRNL.EXE --> Eliminado, AutoRun.IQ



Sat Jun 03 04:12:21 2000

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\PROTECTOR.EXE --> Eliminado, AutoRun.IQ





Nota: Aparece otro virus en mi pendrive. Mas tarde mando la muestra!!!



Gracias!!!!!

[evangelion_01]

y te faltan 2 parches importantes de windows, actualizalo con el windows update

[msc hotline sat]

Pues sí, ya eliminado el del PROTECTOR.EXE, ahora has encontrado el de este otro:



Detectado AUTORUN.INF en la Unidad (E)

open=MSOCache\doWTP_RESTORE_0.exe



Tras recibirlo lo analizaremos e informaremos



saludos



mns, 6-10-2007

[msc hotline sat]

Recibidas las muestras solicitadas, se confirma la presencia de virus de pendrive que pasamos a controlar con la version 14.79 del ELISTARA de hoy, que estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus, a partir de las 19 h GMT



Una vez eliminado el virus del ordenador, limpiar los pendrive que se tengan , con el ELISTARA, explorando la unidad correspondiente, pero cuidado al insertar los pendrives en el USB, pulsar simultaneamente la tecla SHIFT para que no procese el AUTORUN.INF, de lo contrario volvería a infectar el ordenador y no acabaría nunca !



saludos



ms, 8-10-2007

[mikmatcr]

Ok. Gracias por la ayuda y disculpas por abrir otro tema en paralelo. Si llegara a encontrar otro de estos spyware se los mandare.



Gracias por la ayuda!!!!!

[msc hotline sat]

Pues dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 9-10-2007

[msc hotline sat]

Recibida muestra postcierre, corresponde a nueva variante de Fake Alert instaladora de WinAntivir2007pro, que pasamos a controlar desde la nueva version de hoy 14.83 del ELISTARA, y que estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus, a partir de las 19 horas de hoy.



saludos



ms, 15-10-2007

[msc hotline sat]

Recibidas mas muestras de ficheros con contenido nulo.



Por favor si quiere enviar mas muestras, postee motivo y logs correspondientes.



saludos



ms, 25-10-2007