Hola, el otro dia me entro un virus y el kaspersky me lo detecto y lo elimino, pero a partir de entonces me ocurria q cada vez q intentaba abrir el disco duro C o cualquiera de los otros 2 externos USB q tengo conectados me decia q no podia encontrar el archivo copy.exe.
Estuve mirando por ahi y como no conseguia quitarlo, al final decidi formatear el ordenador puesto q ademas lo tenia un poco petado ya. La cosa es q ahora el disco C me va bien, pero en los otros dos sigo teniendo el problema.
He leido por ahi q hay q ir al registro y buscar copy.exe en mi pc y una vez alli eliminar la clave shell, pero ahi es donde me pierdo.
Yo entro en inicio ejecutar regedit
alli pincho en mi pc y busco copy.exe, y me sale a la derecha una entrada
en ella hay 3 columnas Nombre Tipo y datos, en las cuales pone:
NOMBRE: AB (predeterminado)
TIPO: REG_SZ
DATOS: C:\WINDOWS.0\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
Por lo q he leido hay q borrar la clave shell, pero eso q quiere decir, q tengo q eliminar esta entrada entera o solo la palabra shell donde aparezca o como?
Gracias de antemano y un saludo
copy.exe
bajate estas útilidades [url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url] ,[url=http://www.zonavirus.com/descargas/elitriip.asp]ElitriIP[/url] y [url=http://www.zonavirus.com/descargas/elinotif.asp]Elinotif[/url] y busca la unidad donde estan conectadas las pendrives para que realicen sus limpieza, tambien las pasas al disco C:
el resultado de las acciones se graban en C:SAtInfo.txt nos lo pegas para el siguiente post para ver que te elimino
el resultado de las acciones se graban en C:SAtInfo.txt nos lo pegas para el siguiente post para ver que te elimino
La vida es hermosa....para que complicarnosla Bueno, he pasado el elistara y el elitrip al disco J y al disco K, al C no le he pasado nada por q lo he formateado esta mañana y no me da problemas y se abre bien haciendo doble click directamente.
El elinotif no he hecho nada con el por q no me deja abrirlo, es una dll lo q se me ha descargado y no me deja hacer nada con el.
Aqui pongo lo q me ha dado cada disco con cada programa.
[u]ElistarA disco J[/u]
Fri Nov 02 16:53:43 2007
EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (J)
Shellexecute=copy.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es ". Gracias.
Fri Nov 02 16:54:55 2007
EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad J:\
Nº Total de Directorios: 9
Nº Total de Ficheros: 69
Nº de Ficheros Analizados: 4
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
[u]
ElistarA disco K[/u]
Fri Nov 02 16:58:25 2007
EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (J)
Shellexecute=copy.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es ". Gracias.
Detectado AUTORUN.INF en la Unidad (K)
Shellexecute=copy.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es ". Gracias.
Fri Nov 02 16:58:44 2007
EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad K:\
Nº Total de Directorios: 1013
Nº Total de Ficheros: 11837
Nº de Ficheros Analizados: 22
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
[u]Elitrip disco J[/u]
Fri Nov 02 16:56:16 2007
EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Fri Nov 02 16:56:25 2007
EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad J:\
Nº Total de Directorios: 9
Nº Total de Ficheros: 69
Nº de Ficheros Analizados: 7
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
[u]Elitrip disco K[/u]
Fri Nov 02 17:07:45 2007
EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Fri Nov 02 17:07:53 2007
EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad K:\
Nº Total de Directorios: 1013
Nº Total de Ficheros: 11837
Nº de Ficheros Analizados: 26
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Bueno pues esto es lo que ha dado, vosotros direis.
Salu2
El elinotif no he hecho nada con el por q no me deja abrirlo, es una dll lo q se me ha descargado y no me deja hacer nada con el.
Aqui pongo lo q me ha dado cada disco con cada programa.
[u]ElistarA disco J
Fri Nov 02 16:53:43 2007
EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (J)
Shellexecute=copy.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "
Fri Nov 02 16:54:55 2007
EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad J:\
Nº Total de Directorios: 9
Nº Total de Ficheros: 69
Nº de Ficheros Analizados: 4
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
[u]
ElistarA disco K
Fri Nov 02 16:58:25 2007
EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (J)
Shellexecute=copy.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "
Detectado AUTORUN.INF en la Unidad (K)
Shellexecute=copy.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "
Fri Nov 02 16:58:44 2007
EliStartPage v14.95 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad K:\
Nº Total de Directorios: 1013
Nº Total de Ficheros: 11837
Nº de Ficheros Analizados: 22
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
[u]Elitrip disco J
Fri Nov 02 16:56:16 2007
EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Fri Nov 02 16:56:25 2007
EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad J:\
Nº Total de Directorios: 9
Nº Total de Ficheros: 69
Nº de Ficheros Analizados: 7
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
[u]Elitrip disco K
Fri Nov 02 17:07:45 2007
EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Fri Nov 02 17:07:53 2007
EliTriIP v4.06 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad K:\
Nº Total de Directorios: 1013
Nº Total de Ficheros: 11837
Nº de Ficheros Analizados: 26
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Bueno pues esto es lo que ha dado, vosotros direis.
Salu2
ElApache
elistara te dice esto
Detectado AUTORUN.INF en la Unidad (J)
[b]Shellexecute=copy.exe [/b]
Si Desconoce la Aplicación, por favor envienosla
Detectado AUTORUN.INF en la Unidad (K)
[b]Shellexecute=copy.exe [/b]
Si Desconoce la Aplicación, por favor envienosla
mira si puedes enviarnosla si no la encuentras sigue las indicaciones de un forero que lo consiguio asi
[i]Las carpetas que tienen las memorias las convierte e ejecutables y no las muestra pero si entro desde la barra de direcciones poniendo el nombre de la carpeta si estan todos los archivos es la unica forma de entrar a los archivo
espero que les sirva el dato[/i]
saludos
Detectado AUTORUN.INF en la Unidad (J)
Si Desconoce la Aplicación, por favor envienosla
Detectado AUTORUN.INF en la Unidad (K)
Si Desconoce la Aplicación, por favor envienosla
mira si puedes enviarnosla si no la encuentras sigue las indicaciones de un forero que lo consiguio asi
[i]Las carpetas que tienen las memorias las convierte e ejecutables y no las muestra pero si entro desde la barra de direcciones poniendo el nombre de la carpeta si estan todos los archivos es la unica forma de entrar a los archivo
espero que les sirva el dato
saludos
Elinotif solo es un complemento del Elistara, no se ejecuta por el usuario(se me olvido mencionartelo) si no que lo usa el elistara y el mismo lo ejecuta en caso necesario.....
aun asi ejecutas las utilidades a C:
este archivo debes de mandar copy.exe que se encuentra en tus pendrives y lo comprimes y le pones la contraseña virus y nos lo mandas azonavirus@satinfo.es indicando como referencia tu nick en el foro.
Es posible que debas mostrar todos los archivos aun los ocultos para que lo puedas localizar
y haz esto tambien en cada pendrive: Se resume muy facilmente, en pendrives nuevos o vacios totalmente, o especialmente los limpiados de virus al respecto, crearles en su directorio raiz una carpeta con el nombre AUTORUN.INF de forma que el virus no pueda crear un fichero con dicho nombre en dicha unidad, y aunque copiara el malware en cualquier parte, oculto y escondido, este no sería lanzado y por tanto no propagaría el virus.
aun asi ejecutas las utilidades a C:
este archivo debes de mandar copy.exe que se encuentra en tus pendrives y lo comprimes y le pones la contraseña virus y nos lo mandas a
Es posible que debas mostrar todos los archivos aun los ocultos para que lo puedas localizar
y haz esto tambien en cada pendrive: Se resume muy facilmente, en pendrives nuevos o vacios totalmente, o especialmente los limpiados de virus al respecto, crearles en su directorio raiz una carpeta con el nombre AUTORUN.INF de forma que el virus no pueda crear un fichero con dicho nombre en dicha unidad, y aunque copiara el malware en cualquier parte, oculto y escondido, este no sería lanzado y por tanto no propagaría el virus.
La vida es hermosa....para que complicarnosla -
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Ante todo, envie la muestra del COPY.EXE como se indica en:
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
y tras analizarla implementaremos su control y eliminacion en nuestras utilidades, posiblemente en la proxima version del ELISTARA, de lo cual informaremos
Por lo que vemos, eliminó el fichero principal con kaspersky, pero quedaron las claves de registro que lo llaman, ademas de olvidarse de las unidades removibles, como los pendrives, y demas unidades logicas, en las que el virus se copia.
No se preocupe de las claves del registro, ya las restauraremos nosotros aunque haya borrado el fichero, lo cual no hacen los antivirus si ya no encuentran el causante de la infeccion, asi, borrado el COPY.EXE, ya no encuentran virus y no prosiguen con la limpieza de los restos, a diferencia de nuestras utilidades, que restauramos las claves de los malwares aunque estos ya se hayan eliminado, siempre y cuando los conozcamos, claro, para lo que es imprescindible analizar en este caso el COPY.EXE de marras, que, oculto y todo lo que quiera, encontrará en los PENDRIVES u otras unidades en las que el Kaspersky no lo haya borrado...
Use un Inicio -> Buscar -> En todas las carpetas y ficheros (y seleccione tambien las unidades de pendrive e insertelos) y cuando vea donde está, sobre todo no lo borre, envienoslo como indicamos al principio de este post.
Con el ELISTARA que lo controle ya eliminaremos de donde esté este COPY.EXE y las claves de registro correspondiente, que si solo se elimikna el COPY.EXE ya sabe lo que pasa !!!
saludos
ms, 2-11-2007
nota: para empezar a hacer boca:wink: :
http://vil.nai.com/vil/content/v_142556.htm
y por si fuere el caso, mire si encuentra tambien el
C:\Documents and settings\All users\Application Data\sqlserv.exe
y nos lo envia tambien, y nos añade el AUTORUN.INF de marras, ms. (y el COPY.EXE, claro)
->
y tras analizarla implementaremos su control y eliminacion en nuestras utilidades, posiblemente en la proxima version del ELISTARA, de lo cual informaremos
Por lo que vemos, eliminó el fichero principal con kaspersky, pero quedaron las claves de registro que lo llaman, ademas de olvidarse de las unidades removibles, como los pendrives, y demas unidades logicas, en las que el virus se copia.
No se preocupe de las claves del registro, ya las restauraremos nosotros aunque haya borrado el fichero, lo cual no hacen los antivirus si ya no encuentran el causante de la infeccion, asi, borrado el COPY.EXE, ya no encuentran virus y no prosiguen con la limpieza de los restos, a diferencia de nuestras utilidades, que restauramos las claves de los malwares aunque estos ya se hayan eliminado, siempre y cuando los conozcamos, claro, para lo que es imprescindible analizar en este caso el COPY.EXE de marras, que, oculto y todo lo que quiera, encontrará en los PENDRIVES u otras unidades en las que el Kaspersky no lo haya borrado...
Use un Inicio -> Buscar -> En todas las carpetas y ficheros (y seleccione tambien las unidades de pendrive e insertelos) y cuando vea donde está, sobre todo no lo borre, envienoslo como indicamos al principio de este post.
Con el ELISTARA que lo controle ya eliminaremos de donde esté este COPY.EXE y las claves de registro correspondiente, que si solo se elimikna el COPY.EXE ya sabe lo que pasa !!!
saludos
ms, 2-11-2007
nota: para empezar a hacer boca
[quote="McAfee"]Overview -
This is a virus detection. Viruses are programs that self-replicate recursively, meaning that infected systems spread the virus to other systems, which then propagate the virus further. While many viruses contain a destructive payload, it's quite common for viruses to do nothing more than spread from one system to another.
Characteristics -
W32/SqlCop.worm is a worm with keylogging capabilities. It can spread over removable media, creating the following files:
X:\Autorun.inf (this file is created at the root folder of each infected removable media to automatically execute the worm). X:\copy.exe X:\sqlserv.exe (Where X: is the drive letter of the removable media)
Upon execution, the worm copies itself to the following files.
C:\Documents and settings\All users\Application Data\copy.exe (first part of the worm)
C:\Documents and settings\All users\Application Data\sqlserv.exe (second part of the worm containing keylogging capabilities)
C:\Documents and settings\All users\Application Data\Autorun.inf
Then it adds the following registry key.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "sqlserv" = "C:\Documents and settings\All users\Application Data\sqlserv.exe"
And the monitored keytrokes are stored in the following location if it exists:
C:\Documents and settings\Guest\Templates\
The name of the files containing the data is contructed like that: month_day_hour_minute.dat (where month_day_hour_minute is the moment when the keylogger started monitoring).
[/quote]
y por si fuere el caso, mire si encuentra tambien el
C:\Documents and settings\All users\Application Data\sqlserv.exe
y nos lo envia tambien, y nos añade el AUTORUN.INF de marras, ms. (y el COPY.EXE, claro)
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online