Virus que hace irreconocible los usb (SOLUCIONADO)

[mikmatcr]

Buenas!!!

En la U tenemos el problema de que no se estan reconociendo los usb. Me explico:

Introduces el usb y te dice que puede correr más rápido y bla bla... pero no sale en "Mi pc", te vas a dispositivos de hardware y sale con simbolo amarillo y no deja actualizar los controladores.



Paso el Elistara me elimina unos virus viejos que tenia la máquina, pero en las máquinas que lo he pasado todas me dicen que envie unas muestras( ya las envie). Lo extraño es que cuando reinicio después de haber pasado el Elistara el problema se soluciona( ya detecta los usb), de todas formas mandé las muestras por si es otro virus nuevo.



Infosat:

Mon Mar 10 07:18:57 2008

EliStartPage v15.82 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v15.82

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO0.DLL.Muestra EliStartPage v15.82

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO0.DLL --> Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"



Mon Mar 10 07:23:28 2008

EliStartPage v15.82 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\AMVO0.DLL.VIR --> Eliminado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 10 07:24:34 2008

EliStartPage v15.82 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 55

Nº Total de Ficheros: 480

Nº de Ficheros Analizados: 272

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Supongo que ya has utilizado elipen para proteger el pc no? Si no es asi descargalo y nos comentas, y las muestras como ya sabes ya te diran algo en cuanto lo analicen, saludos



http://www.zonavirus.com/descargas/elipen.asp

[mikmatcr]

Lucl te cometo que si. El elipen lo tenemos en todas laa máquinas.

[lucl]

Lo imaginaba porque eres asidua del foro pero por si acaso... saludos



Oye y si quieres posteanos el hijackthis por si tuvieramos algun gamberrete camuflao :lol:

saludos

[mikmatcr]

El problema es que son pcs de aulas y en este momento estan clases. La pc no esta infectada.

[GuidoX]

Lastima, me acabo de volar el virus de la maquina de la oficina que tenia el mismo, pero lo eliminé manualmente. Pero las maquinas de las aulas no reconocen el usb, es como si presentara un conflicto de puertos :lol: hace tiempo no veia un virus asi :lol:

[lucl]

Bueno estate tranquilo pues si no me confundo sois de la misma uni? Y ya ha enviado mikmatcr varios archivos, no obstante si te vuelve a aparecer envianoslo tenlo en cuenta para otras veces para poder analizarlo y neutralizarlo, saludos

[flacoroo]

aparte de ejecutar los Elis(de los que recomendamos) tambien se debe de pasar a las USB para que eliminen los bichos que tienen y vacunarlos con el elipen, si lo tienen ya, eliminalo y de nuevo vacunas....no se les debe olvidar que deben ejecutarlo reiniciando su compu en modo seguro....

[mikmatcr]

Lo del Elipen Flacoroo lo dices por los autorun(me imagino). Pero ya hemos revisado y no tenemos ningun autorun extraño, ni oculto ni nada del famoso SHR.

[flacoroo]

no solo lo digo por el autorun si no el que tambien esta de moda el PWS.OnLineGames con sus variantes que tambien se contaminan las Pc´s por las Usb´s ó viceversa y no esta de mas pasarles tanto el elipen, elitriip y elistara a las Usb´s a todas y si tienes particionados tus DD, tambien pasales las herramientasy vacunalos con el elipen.



mas vale prevenir que lamentar :twisted: :twisted: :twisted:

[mikmatcr]

Gracias por la ayuda Flacoroo, pienso igual que tú, y si ya hemos limpiado usb(nuestros) y todo lo que has dicho(elistara, elitrip, elipen). Pero el problema son los usbs de los estudiantes, quien sabe en que cosas se meten o les mandan e infectan toda la U. Gracias por tus recomendaciones!!!!!

[GuidoX]

Ya la volvì a Infectar :lol: Aqui esta el log



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:36:30, on 10/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\ARCHIV~1\SYMANT~1\VPTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

F:\Trabajo\Programas\Antivirus y utilidades\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://correo.ulatina.ac.cr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe :lol:

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201021599920

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201022110104

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe



--

End of file - 4243 bytes

[GuidoX]

Por ahí en otra maquina econtré otra variación del mismo virus pero es d.com y no b.com como el de este post, voy a tratar de copiarlo para enviar la muestra :?

[GuidoX]

Además otra cosa que vi de este virus es que infecta todas las particiones, en el caso de esta maquina que estoy usando, tanto en C:\ como D:\ tiene el autorun.inf com el b.com :roll:

[mikmatcr]

[quote="GuidoX"]Además otra cosa que vi de este virus es que infecta todas las particiones, en el caso de esta maquina que estoy usando, tanto en C:\ como D:\ tiene el autorun.inf com el b.com :roll:[/quote]

Una de las pocas máquinas sin Elipen, Guidox hay que inyectarle el Elipen. Además he mandado otas muestras extras.



Que montón de virus y lamentablemente nuestro antivirus(symantec) no detecta ninguno según Virustotal, ni Mcafee ni los más comerciales.

[flacoroo]

con el elipen se desactiva abrir las usb´s de forma automatica por eso deben vacunarse y deben dedicar una maquina donde primero deben meter los estudiantes las usb´s limpiarlas y despues vacunarlas, se que sera un embrollo pero por algo se comienza



saludos



:twisted: :twisted: :twisted:

[GuidoX]

Lo mejor sería no dejar que los estudiantes usen las computadoras :lol: . O sea solo la vacuno con Elipen y ya deberia de no infectarse?

[mikmatcr]

Sería bena opcion pero con Taantos estudiantes y tantas usbs(contando administrativos)es algo muy dificil, además a muchos les gusa poner fondo a las llaves y contra eso no podemos luchar.

[msc hotline sat]

sÍ, ESTE ES DE LOS CONOCIDOS POR FLACOROO:



O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe



ES EL TAN DE MODA ONLINEGAMES !!!



Efectivamente se transmite por pendrive, pero si ya tienes vacunados ordenadores y unidades, no se va a propagar por ahí, pero como se se copia a todas las unidades, extraibles o no, pues conviene pasar el ELISTARA a todas las unidades de disco duro, aparte de lo del ELIPEN, claro.



Y si en c:\infosat.txt pide que se envien muestras, una vez las rfecibamos implementaremos su control y eliminacion en la siguiente version del ELISTARA



Pero el amigo flacoroo sabe mucho de este virus, verdad flacoroo ??? :lol: :lol: :lol: A DIARIO SE LO ENCUENTRA EN LA SOPA ...



saludos



ms, 10-3-2008

[mikmatcr]

A lo que entiendo el Elipen evita que el usuario contagie a la pc y viceversa, pero no evita que se te instale el virus solo evita que no se ejecute. Estoy en lo cierto :?: :?:

[msc hotline sat]

evita que los ordenadores vacunados autoejecuten el AUTORUN.INF, y en consecuencia infecten involuntariamente el ordenador, ahora bien, si lo quieres infectar manualmente, ejecutando manualmente los ficheros infectados o incluso el AUTORUN.INF si el pendrive no está vacunado con el ELIPEN, poder puedes, y suicidarse tambien ... (sin pretender hacer apología de ello...)



Pero el ELIPEN tiene dos funciones, vacunar los ordenadores para que no autoejecuten el AUTORUN.INF de los pendrives y vacunar las unidades pendrive que se procesen para evitar que ellas puedan autopropagar virus al insertarlas en cualquier PC no vacunado, pues los vacunados ya no pueden tener el AUTORUN.INF



saludos



ms, 10-3-2008

[mikmatcr]

Flacoroo no eres el único, aqui tenemos un gran coctel de este tipo de virus. Si puedes ver las muestras que Guidox y mi persona hemos mandado un moton de este tipo.

[GuidoX]

Son demasiadas, casi que cada semana encontramos una variacion del mismo :evil:

[msc hotline sat]

Una por semana, ah bueno ..., nosotros recibimos varias cada día :roll:



Actualmente tenemos mas de 500 variantes controladas, con 4 ficheros diferentes cada uno, o sea unos 2000 controles para las actuales.... y subiendo !



No me extraña que os agobie, nosotros ya estamos acostumbrados, y aun asi hay días que entre VUNDOS, ONLINEGAMES y BAGLES nuevos nos frien !!!



Pero mientras podamos, miraremos de tener la satén por el mango...



Acabo de subir las nuevas versiones de hoy, probadlas



saludos



ms, 10-3-2008

[flacoroo]

pues cada dia dia encuentro varias variantes nuevas del PWS.OnLineGames ya que solo en los edificios donde esta mi oficina son mas de 80 compus, y de las demas clinicas hacen un total de 350 compus y servidores....asi que imaginate...pero hay que educar a la gente.....que primero deben verificar sus usb´s antes de meterlas a una compu y mas si esta en red.....



y no dejen de enviar sus muestras para que de esa manera se siga actualizando las herramientas que nos proporciona MSC



y aqui estamos para serviles......



saludos.....

[msc hotline sat]

Sí, flacoroo es quien nos ha enviado mas muestras de este mal bicho... las cuales ya estan controladas, y con un poco de precaucion...



Por cierto, conoces el Site Advisor ??? instalatelo y no entres donde no debes, claro que ya entraran los alumnos por tí :?



http://www.siteadvisor.com



saludos



ms, 10-03-2008

[mikmatcr]

[quote="msc hotline sat"]Sí, flacoroo es quien nos ha enviado mas muestras de este mal bicho... las cuales ya estan controladas, y con un poco de precaucion...



Por cierto, conoces el Site Advisor ??? instalatelo y no entres donde no debes, claro que ya entraran los alumnos por tí :?



http://www.siteadvisor.com



saludos



ms, 10-03-2008[/quote]

Por lo menos en esta máquina si lo tengo instalado!!!

[GuidoX]

[quote="msc hotline sat"]Una por semana, ah bueno ..., nosotros recibimos varias cada día :roll:



Actualmente tenemos mas de 500 variantes controladas, con 4 ficheros diferentes cada uno, o sea unos 2000 controles para las actuales.... y subiendo !



No me extraña que os agobie, nosotros ya estamos acostumbrados, y aun asi hay días que entre VUNDOS, ONLINEGAMES y BAGLES nuevos nos frien !!!



Pero mientras podamos, miraremos de tener la satén por el mango...



Acabo de subir las nuevas versiones de hoy, probadlas



saludos



ms, 10-3-2008[/quote]



No funcionó la 15.83, aun me sale que debo de enviar las muestras :?

[mikmatcr]

Tiene razon Guidox, en esta versión no viene la cura.



Esperaremos a mañana.

[msc hotline sat]

Pruebala ya:


[quote]Pero mientras podamos, miraremos de tener la satén por el mango...



[b][i]Acabo de subir las nuevas versiones de hoy, probadlas [/i][/b]



saludos



ms, 10-3-2008[/quote]

y comentanos el resultado, gracias



saludos



ms, 11-03-2008



NOTA: y si no lo detectamos, posiblemente te pidamos envio de muestras, posteanos el c:\infosat.txt resultante y lo veremos . ms.