Virus AMVO con otro troyano

[Benji-Prise]

[b][color=darkblue]Hola...!!!!!!

bueno, primeramente felicito a todos los lectores asiduos de esa zona ya al personal del foro por el año nuevo deseándoles un excelente 2008.



Escribo porque mi computadora (con Windows XP Professional SP2) ha sido "infectada" por un virus llamado "AMVO" y por un troyano, gracias a que le conecté un MP4 vía USB. Al ejecutar el ElistarA me detectó dichas porquerías y dos autorun.inf en mis unidades de disco duro C y D. Y lo peor es que al correr al ElitriIP éste me detectó lo mismo y me eliminó el archivo "Explorer.exe" de "C:\Windows\System32" lo cual no fue muy agradable, puesto que ahora mi equipo arranca con el explorador de windows (la opción de "Ver Carpetas" de "Mis Documentos"). Ahora cada vez que estoy en "Mi PC" e intento accesar a cualquier unidad C o D, se levanta la opción "Explorar" y abre Windows otra ventana con la unidad seleccionada.



Les he enviado las muestras que ElistarA y ElitriIP me han solicitado mandar (tal y como se indica en el post correspondiente). Espero puedan ayudarme y quisiera saber si hay posibilidades de recuperar el "Explorer.exe" o si ya se ha perdido por ser un archivo del Sistema.



Agradeciendo de antemano y reiterando mis mejores deseos para este año nuevo, a continuación coloco la información del archivo "InfoSat.txt":





Tue Jan 01 20:21:52 2008

EliStartPage v15.34 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\AVPO0.DLL.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v15.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\AMVO0.DLL.VIR --> Eliminado.

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=80avp08.com

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=80avp08.com

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Jan 01 20:22:08 2008

EliStartPage v15.34 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8095

Nº Total de Ficheros: 61564

Nº de Ficheros Analizados: 15182

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jan 01 20:26:55 2008

EliStartPage v15.34 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 3886

Nº Total de Ficheros: 101074

Nº de Ficheros Analizados: 20323

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Jan 01 20:31:58 2008

EliTriIP v4.24 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\EXPLORER.EXE.Muestra EliTriIP v4.24

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EXPLORER.EXE --> Eliminado



Tue Jan 01 20:32:03 2008

EliTriIP v4.24 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8095

Nº Total de Ficheros: 61564

Nº de Ficheros Analizados: 14134

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/color][/b]

[msc hotline sat]

Vamos por partes, el EXPLORER.EXE no debe estar en la carpeta de sistema sino en la de windows...



Y se movió en consecuencia a la carpeta c:\muestras, donde se supone que aun lo tienes y se te pide que nos lo envies para analizar:


[quote]Por favor, envienos una muestra del fichero

C:\Muestras\EXPLORER.EXE.Muestra EliTriIP v4.24 [/quote]

aparte se te pide tambien que envies:


[quote]Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v15.34 [/quote]

Dices habernos enviado dichas muestras, pero no se si lo has hecho donde decimos en el foro:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



si no es asi, repite el envio, gracias



y este EXPLORER.EXE que nos pides


[quote]quisiera saber si hay posibilidades de recuperar el "Explorer.exe"[/quote]

lo tienes en C:\muestras, como habrás visto al enviarnos las muestras, pero puede ser un malware, por esto te lo pedimos...



En lugar de dicho fichero sospechoso, propongo que con un Inicio -> Buscar -> Todos los fichero sy carpetas -> busques si encuentras algun otro EXPLORER.EXE , pues puede que lo haya en DLLCACHÉ o en algun subdirectorio de parches...



Comentanoslo o el mayor de ellos (será el mas actualizado) lo copias a C:\windows que es donde está normalmente.



y nos comentas elr esultado, gracias



saludos



ms, 2-1-2008

[Benji-Prise]

[b][color=darkblue]He buscado el Explorer.exe y sí lo ha localizado en C:\Windows, por lo tanto no lo quise reemplazar con otro encontrado en el escaneo que realicé, pero si no fue afectado ese archivo, no entiendo porqué se abre otra ventana cuando desde Mi PC intento abrir la unidad C o la unidad D. Creo es debido a los autorun.inf que están ocultos en ambas unidades de disco duro. Pues como tengo instalado el Spybot & Search este me avisa cada vez que arranco la computadora que dichos autorun.inf quieren modificar o modifican unas entradas de registro.



Ya he inspeccionado también con el buscador para encontrarlos, pero no funciona ese método. Eso aunado a que no puedo hacer que se visualicen los archivos ocultos, me veo imposibilitado a eliminarlos manualmente.



Las muestras las envié a su correo empaquetadas en un archivo *.rar con contraseña "VIRUS". Si no les han llegado entonces avísenme para volvérselas a mandar.



Gracias.[/color][/b]

[msc hotline sat]

No sé si has enviado tambien los ficheros que se te piden en el infosat.txt referentes al autorun.inf, pero si no lo has hechom hazlo para poder controlarlo en el caso de que sea virus:


[quote]
Detectado AUTORUN.INF en la Unidad (C)

open=80avp08.com

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF

Detectado AUTORUN.INF en la Unidad (D)

open=80avp08.com

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF [/quote]

Envianos este fichero [b][i]80avp08.com [/i][/b] junto con uno de los dos [b][i]AUTORUN.INF[/i][/b] DE LA MISMA FORMA QUE LAS DEMAS MUESTRAS, A zonavirus@satinfo.es y se analizaran, pasando a controlarlas y eliminarlas si son malwares.



vigile sus pendrives, que posiblemente esten infectados.



Pruebe para vacunarlos el ELIPEN:





ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp



saludos



ms, 2-1-2008

[Benji-Prise]

[b][color=darkblue]Hallo...!!!!!!!

Otra vez yo, bien

pues he ejecutado el elipen y

me ha renombrado los autorun a *.old.

Dichos archivos ya los he enviado para procesarlos

en caso de ser necesario con el ElistarA.



Aún así todavía no puedo ver los archivos ocultos,

a pesar de que lo hago, de inmediato se cancela esta instrucción. A continuación coloco el contenido de InfoSat.txt

luego de correr el EliPen:



Wed Jan 02 17:39:47 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado C:\Autorun.inf

OPEN=80AVP08.COM

C:\Autorun.inf -> Renombrado a .OLD

Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Detectado D:\Autorun.inf

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida

[/color][/b]

[msc hotline sat]

Bueno, pues ahí vemos que el AUTORUN.INF llama a este fichero:



80AVP08.COM



que acabo de ver en este otro Tema:



https://foros.zonavirus.com/viewtopic.php?f=5&t=22825



por tanto, ya vemos que se está propagando este nuevo virus...



Envianos tambien el indicado fichero por si fuera una variante, pero creo que será el mismo



y ya ves todo lo que pedimos al otro usuario, pero si vemos que este fichero es igual, no hará falta que nos envies lo demas, ya implementaremos su control y eliminacion en la proxima verison del ELISTARA, igual que las claves que te impiden ver ficheros ocultos y demas, lo cual puedes probar de restaurar copiando y pegando elas siguientes lineas en un fichero que puedes llamar ARREGLA.BAT:



______________



reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /f

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v CFTMON.EXE /f

reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v CFTMON.EXE /f

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /f

reg delete "HKCU\Software\Microsoft\Windows\Currentversion\Policies\System" /v DisableTaskMgr /f

REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /F

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /V CheckedValue /T REG_DWORD /D 1 /F



_________





Aunque tambien ello lo restaurará la version indicada del ELISTARA, pero si necesitas ganar tiempo prueba de ejecutar el BAT indicado.



Y nos cuentas tus progresos al respecto



saludos



ms, 3-1-2008





NOTA: Y si no tienes instalado OFFICE envianos tambien el CTFMON.EXE que encuentres con un Inicio -> Buscar -> Todos los archivos y carpetas ->



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ms.

[Benji-Prise]

[b][color=darkblue]Pues ya he ejecutado el archivo *.BAT y ya puedo ver los archivos ocultos, gracias. También tengo el Office instalado.



Y respecto al archivo 80AVP08.com, no lo encuentro, supongo que debe seguir vivo por ahí, más no lo localizo, veo sólo el creado en la carpeta Prefetch con la extensión *.inf pero no sé si sirva de algo. [/color][/b]

[Benji-Prise]

[b][color=darkblue]

Finalmente en Opciones de Carpeta he logrado visualizar los archivos del sistema y sólo así he podido ver a dicho ejecutable el cual ya ha sido enviado. Por cierto, también hay un NTDTECT.com pero no sé si sea del Sistema verdaderamente. Por aquello de las malditas dudas y de no encontrar respuesta congruente en internet, lo dejé sin modificación alguna.



Ya mandada la muestra espero respuesta, gracias...





[/color][/b]

[msc hotline sat]

Pues no vayas a confundirte !. El NTDETECT.COM es del sistema operativo, relativo al hardware que tiene instalado el equipo.



Y a ver si mañana podemos examinar tus muestras, que con esto de las fiestas de Navidad y Fin de Año, con sus puentes y aueductos, llevamos una ligera saturacion y sumado a bajas de personal por gripe y virus pero humano, y a cursillos de nuevos productos que hemos incorporado, nos hacen ir de bólido :wink:



De todas formas, prueba el ELISTARA de hoy que ya controla algo mas de lo que te preocupa, a ver si vemos algo en el infosat.txt correspondiente:


[quote]http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 3-1-2008

[Benji-Prise]

[b][color=darkblue]No hay cuidado,

entiendo que en estas fechas es difícil, máxime

los cursos mencionados, el tiempo no rinde.



Bueno, he lanzado de nueva cuenta el ElistarA en modo seguro, pero me ha sucedido lago extraño, cuando desde Mi PC quise abrir la unidad C y D de discos duros, Windows no supo cómo abrirlo y me puso un cuadro de diálogo para elegir el programa y abrirlo. Eso no es normal hasta donde yo sé. También Spybot&Search me avisó que se modificó una entrada de registro cuyo antigüo valor era "user.init,Explorer.exe" a "user.init", referente a winlogon.exe. No entendí qué ocurrió y bloqueé el cambio, o esa opción elegí.



Ahora pongo el resultado luego de correr ElistarA:



Thu Jan 03 16:04:52 2008

EliStartPage v15.36 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v15.36

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\AMVO0.DLL.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO0.DLL.Muestra EliStartPage v15.36

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO0.DLL --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jan 03 16:05:03 2008

EliStartPage v15.36 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{54E55741-F161-46DB-86A7-D2C2130B5351}\RP99\A0043460.INF --> Eliminado, PWS-OnLineGames.NRE(inf)

C:\System Volume Information\_restore{54E55741-F161-46DB-86A7-D2C2130B5351}\RP99\A0043479.INF --> Eliminado, PWS-OnLineGames.NRE(inf)

C:\System Volume Information\_restore{54E55741-F161-46DB-86A7-D2C2130B5351}\RP99\A0044543.INF --> Eliminado, PWS-OnLineGames.NRE(inf)



Nº Total de Directorios: 8108

Nº Total de Ficheros: 62068

Nº de Ficheros Analizados: 15198

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Thu Jan 03 16:10:02 2008

EliStartPage v15.36 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 3885

Nº Total de Ficheros: 101022

Nº de Ficheros Analizados: 20327

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







P.D. Vale la pena decir que el ejecutable A80AVP08.COM lo eliminé manualmente. Dice que se envíen muestras pero no sé si sea pertinente puesto que creo son las mismas ya mandadas. Espero respuesta, gracias.

[/color][/b]

[msc hotline sat]

Eso quiere decir que no basta con eliminar el fichero, pues el virus se regenera.



A ver si con las muestras que ya has enviado podemos controlarlo totalmente...



saludos



ms, 4-1-2008

[Benji-Prise]

[b][color=darkblue]

Sí,

eso espero,

no estoy totalmente tranquilo laborando así.

[/color][/b]

[msc hotline sat]

Pues prueba la version del ELISTARA de hoy, 15.37 y nos comentas el resultado, gracias




[quote]ELISTARA



---v15.37-( 4 de Enero del 2008) (Muestras de (6)PWS-OnLineGames.NRE, DownLoader.Delf.DQY "TOPRATES.DLL", DownLoader.Murlo.DU "76600E87.EXE", Swizzor "0472750B.EXE" y Swizzor(BHO) "7C7C1DCE.DLL") [/quote]



saludos



ms, 4-1-2007

[msc hotline sat]

Añadido al ELISTARA de hoy el control de la muestra que ha llegado correcta. La otra ha llegada todo ceros, inutil total.



A partir de las 19 horas de esta tarde pruebe el ELISTARA 15.38 y tras ello nos postea el infosat.txt resultante



saludos



ms, 7-1-2008