objetos en quarentena

Const · Mensaje por **Const** » 14 Jul 2008, 20:34

lo que pasa es lo siguiente.

Constantemente tengo q llevar archivos en el pendrive de un pc a otro,y en uno de esos tantos intercambios, algunos pc han detectado virus en mi pendrive, en algunos casos se niega el acceso y no puedo sacar los archivos, o lo detecta pero no lo puede eliminar.

Lo "curioso" es q cuando lo analiso en mi pc sale limpio, pero mi pc ya tiene varios objetos en quarentena y en "amenazas detectaadas" la lista es bastante larga.

tengo el nod32, pero las actualizaciones no estan al día por problemas en la contraseña y asusntos asi q no me han venido a arreglar, me preocupa porq no quiero dejar mi pc lleno de virus ni tampoco a toda la universidad.

Mensaje por **msc hotline sat** » 14 Jul 2008, 20:42

Pero es que aun no has vacunado ordenador y pendrive con el ELIPEN ???

[quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Con lo que dices que usas los pendrives... bueno aparte de revisar ademas con el ELITRIIP Y ELISTARA, para eliminar lo qeu ya tengas dentro conocido como malware:

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 14-07-2008

Const · Mensaje por **Const** » 14 Jul 2008, 21:34

intente pegar aqui el infosat pero me quedaba pegada, lo ppase al word y son 337 paginas!!

oara no quedar pegada de nuevo pegare un resumen, pero si es necesario el archivo completo podria enviarlo, no sé muy bien q hacer

Mon Jul 14 14:47:09 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Detectado E:\Autorun.inf

OPEN=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\EXE32.EXE

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida

Mon Jul 14 14:56:33 2008

EliTriIP v4.95 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

---------------------------

Lista de Acciones (por Acción Directa):

(y aqui sale la interminable lista de hosts)

Eliminada Carpeta "%WinDir%\PeerNet"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 14 15:02:46 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

Nº Total de Directorios: 3973

Nº Total de Ficheros: 39983

Nº de Ficheros Analizados: 9989

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

--------------------------------------

mas o menos eso, parece q tengo q instalar el sp3

Mensaje por **lucl** » 14 Jul 2008, 21:36

Veamos, si lo que te sale en el infosat son lineas que empiezan por 127 prescinde de ellas y peganos el resto del log por favor, gracias saludos

Const · Mensaje por **Const** » 14 Jul 2008, 21:44

todas tienen ese numero delante, son asi

Linea Eliminada del HOSTS --> 127.0.0.1 www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 008i.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.00hq.com

Mensaje por **lucl** » 14 Jul 2008, 22:23

Pues copianos el log sin las filas esas que empiezan por 127. saludos

Const · Mensaje por **Const** » 15 Jul 2008, 03:21

dije que TODA la lista tiene ese numero 127.

si´no entendí mal tenía q pegar las filas q no empiecen con 127, y todas empiezan así.

Mensaje por **msc hotline sat** » 15 Jul 2008, 04:23

Bueno, seguramente usa el SPYBOT y tiene estas entradas que molestan para visualizar el log, pero del actual es importante lo que ha detectado el ELIPEN, aunque ha renombrado a .OLD el lanzador, parece que existe un malware en:

E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\EXE32.EXE

Fijarse que usa c:\recyclers para esconderse, que es donde tambien se soloca la class de la papelera, pero aun vaciandola, esta carpeta y su fichero no se eliminan. Conviene que nos envie este fichero sospechoso: EXE32.EXE, que puede estar oculto dentro de la carpeta indicada:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Y si no ves carpetas o ficheros ocultos, mira en:

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

Cuando recibamos el fichero indicado, lo analizaremos e implementaremoe el control y eliminacion, si procede del supuesto malware.

saludos

ms, 15-07-2008

Const · Mensaje por **Const** » 15 Jul 2008, 06:17

ya envie la muestra, fue algo complicado, espero haberlo hecho bien.

muchas gracias por todo

Mensaje por **msc hotline sat** » 15 Jul 2008, 09:20

Sí, se esconden bien esos malditos roedores :wink:

En cuanto lo recibamos lo analizaremos e informaremos

saludos

ms, 15-07-2008

Mensaje por **msc hotline sat** » 15 Jul 2008, 12:12

Recibida la muestra vemos que se trata de un malware tipico de propagacion por pendrive y AUTORUN.INF, por lo que pasamos a implementar su control y eliminacion en la verison de hoy del ELISTARA 16.71

dESCARGALA ESTA TARDE Y TRAS PROBARLA, NOS CUENTAS EL RESULTADO

[quote]
~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

SALUDOS

MS, 15-07-2008

Const · Mensaje por **Const** » 16 Jul 2008, 02:11

Tue Jul 15 19:35:03 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\EXE32.EXE --> Eliminado, AutoRun.DHA

Nº Total de Directorios: 3972

Nº Total de Ficheros: 40009

Nº de Ficheros Analizados: 9990

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

pero hay una cosa q no entiendo, el pendrive sigue estando infectado? tengo q correr elistara en el pendrive tambien?

Mensaje por **msc hotline sat** » 16 Jul 2008, 06:21

Si no lo has limpiado, puede estarlo, claro

Con el ELISTARA, selecciona su unidad, examinalo e informanos del resultado, gracias

saludos

ms, 16-07-2008

Const · Mensaje por **Const** » 18 Jul 2008, 03:23

perdon por la demora, pero ayer mi pc simplemente no prendía.

hice el analisis en el pendrive, pero me salia un cuadro q decia algo como "acceso denegado a autorun" y esos son los resultados

Thu Jul 17 21:17:59 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 15

Nº Total de Ficheros: 98

Nº de Ficheros Analizados: 4

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 18 Jul 2008, 04:35

El ACCESO DENEGADO debe ser a la carpeta protegida AUTORUN.INF que crea el ELIPEN para proteccion contra la copia de ficheros con este nombre, olvidalo.

Visto que no has detectado nada en el pendrive, damos el Tema por solucionado y procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 17-07-2008

objetos en quarentena

objetos en quarentena

Re: objetos en quarentena

Re: objetos en quarentena

Re: objetos en quarentena

Re: objetos en quarentena

Re: objetos en quarentena

Re: objetos en quarentena

Re: objetos en quarentena

Re: objetos en quarentena

Re: objetos en quarentena

Re: objetos en quarentena

Re: objetos en quarentena

Re: objetos en quarentena

Re: objetos en quarentena

Re: objetos en quarentena