xn1i9x.COM (SOLUCIONADO)

[Tatuani]

con problemas en ujna unidad de disco externa- ya habia sufrido este problema antes por lo que me descargue el elipen y lo corri. les adjunto el .log file y les envio x e-mail la muestra del autoprun.inf.old. el archivo 22WCB21O.EXE no lo pude encontrar en la unidad. por cierto no se pueden eliminar las carpetas que se generan al correr el elipen??



Intente descargar el elistara 16.69 para checar la pc y no me lo permite el norton. dice que tienen un trojan.zlob. Que hago??



Gracias.



Mon Jul 14 00:14:47 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Mon Jul 14 00:18:50 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado D:\Autorun.inf

OPEN=22WCB21O.EXE

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida

[msc hotline sat]

Pues envianos este D:\22WCB21O.EXE que lanza el AUTORUN.INF.OLD :


[quote]EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado D:\Autorun.inf

OPEN=22WCB21O.EXE

D:\Autorun.inf -> Renombrado a .OLD[/quote]

[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y tras analizarlo, obraremos en consecuencia e informaremos



y las carpetas que creamos las protegemnos para que no puedan eliminarse por error, con lo que se desprotegería la unidad en cuestión !



Pero si en el AUTORUN vemos que no lanzaba un virus, sino una aplicacion que tuviera prevista este pendrive por una llave o medio comercial, te diremos el método para restaurar tanto dicho AUTORUN como eliminar las carpetas de proteccion en dicha unidad (PERO NO LO HAGAS EN NINGUNA OTRA!)



saludos



ms, 14-07-2008





NOTA: Pero mas bien se trata de una variante del malware ONLINE GAMES:


[quote]AMVO.EXE can also use the following file names:



HELP[1].EXE 84574796.DAT HELP.EXE [i]22WCB21O.EXE[/i] 50695055.SVD DPTRRW~1.EXE 48841426.DAT HELP[3].EXE 01980317.EXE 02507904.EXE HELP[2].EXE N1DEIECT.COM 50150025.EXE 83552644.EXE 82025395.DAT SAMPLE.COM 50440177.DAT Y82TD3TD.COM 89280529.SVD DPTREK~1.COM 27320641.EXE YLR.EXE HELP.EXE.TMP 33696698.EXE 45661038.EXE 22382451.SVD 59059933.EXE 64971974.EXE XP19.COM 85702547.SVD DPTRROPEEG-213.PMS.EXE D3883CB5CD0987C7785268A9482B5655.EXE DPTRRO~1.EXE 00541737.DAT 55972401.COM NIDEIECT.COM 79837464.SVD MGG.EXE 38254215.DAT 29276564.COM 36898313.DAT MGG[1].EXE [/quote](Info obtenida de PrevX)

Cuando recibamos la muestra la analizaremos e informaremos. ms.

[Tatuani]

hola, les envie la muestra del autorun.inf.old. El archivo 22WCB21O.EXE no lo encontre en el drive por ningun lado. Que hago? Gracias

[lucl]

Nada porque ya lo has enviado, en cuanto al norton es un falso positivo asi que descargalo sin problemas, saludos

[Tatuani]

ok.. agradezco mucho su ayuda. espero respuesta de archivo para saber como proceder. gracias de nuevo.

[msc hotline sat]

El fichero enviado para analizar corresponde a un malware que ya se controla con el actual ELISTARA:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]
Tras descargarlo, pruebalo y nos comentas el resultado



saludos



ms, 14-07-2008





NOTA: Si bien el malware ya es conocido, al estar renombrada la extension del AUTORUN.INF a .OLD ya no es peligroso y este no lo controlabamos, dada su extension. Pero para eliminar restos, a partir de las versiones de hoy, el ELISTARA y el ELITRIIP, que ambos controlan virus de pendrive, controlarán tambien las extensiuones .OLD para hacer limpieza de los ficheros asi renombvrados que contengan rutinas viricas, como es el caso.



Esta tarde bajate la nueva verison 16.70 del ELISTARA y pruebala, deberá detectarte y eliminarte además este AUTORUN.INF.OLD de la unidad en cuestion. ms

[Tatuani]

Hola. Les posteo el resultado del elistara.



La carpeta autorun.inf sigue ahi. La dejo o es posible eliminarla? El archivo autorun.inf.old tambien sigue ahi.



Gracias.



Mon Jul 14 17:17:26 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Jul 14 17:17:30 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\System Volume Information\_restore{63A4945D-5EBF-4682-9870-D32280407B10}\RP370\A0048394.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

D:\System Volume Information\_restore{63A4945D-5EBF-4682-9870-D32280407B10}\RP371\A0048539.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

D:\System Volume Information\_restore{63A4945D-5EBF-4682-9870-D32280407B10}\RP373\A0048627.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

D:\System Volume Information\_restore{7FCE8380-61AB-40BB-88B5-875B1109DFC8}\RP13\A0000397.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

D:\System Volume Information\_restore{7FCE8380-61AB-40BB-88B5-875B1109DFC8}\RP13\A0000399.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

D:\System Volume Information\_restore{7FCE8380-61AB-40BB-88B5-875B1109DFC8}\RP13\A0000401.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)



Nº Total de Directorios: 53

Nº Total de Ficheros: 152

Nº de Ficheros Analizados: 66

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6



Mon Jul 14 17:18:35 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Jul 14 17:18:37 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 53

Nº Total de Ficheros: 146

Nº de Ficheros Analizados: 60

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

La carpeta AUTORUN.INF creada, dejela donde está, que asi proteje contra intentos de propagacion de este tipo de virus. (Por esto la protejemos contra eliminacion accidental)



Pero no vemos lo que esperabamos encontrar en esta unidad D:... Es la misma que habia examinado anteriormente, donde detectó y renombró este fichero ???


[quote]Mon Jul 14 00:18:50 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado D:\Autorun.inf

OPEN=22WCB21O.EXE

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida[/quote]



No hemos encontrado este AUTORUN.INF.OLD, ni el fichero que intenta lanzar 22WCB21O.EXE ???



Es que los borró manualmente o de alguna otra forma ???



En cualquier caso compruebe que ya no estén dichos ficheros, y nos comenta elr esultado, gracias



saludos



ms, 15-07-2008

[Tatuani]

Si, la unidad es la m isma pero el archivo 22WCB21O.EXE no se encuentra en el disco duro y yo no lo elimine manualmente. El autorum.inf.old sigue estando ahi pero no fue eliminado por el elistara. Lo elimio manualmente?? Necesito correr algun otro programa??



La unidad en cuestión es un disco duro externo que encripta la información almacenada x lo que al correr el elistara me dice que no tiene acceso a esa carpeta, al igual que a la carpeta autorun.inf, pero no se como permitirle el acceso al elistara para que verifique esa carpeta.



Gracias.

[flacoroo]

debe estar oculto el archivo....haz esto....abre explorador de windows, herramientas, opciones de carpeta,pestaña Ver y habilitar mostrar todos los archivos y ahora si buscalo el archivo en cuestion......

[Tatuani]

Ya lo hice... solo encuentro el autorun.inf. old. Que le hago a ese??



No sera que no lo encuentra xq se encuentra en la carpeta encriptada??



La unidad en cuestión es un disco duro externo que encripta la información almacenada x lo que al correr el elistara me dice que no tiene acceso a esa carpeta, al igual que a la carpeta autorun.inf, pero no se como permitirle el acceso al elistara para que verifique esa carpeta.

[msc hotline sat]

Si es una unidad encriptada es logico que no lo detecte !



Y ya hemos dicho que la carpeta AUTORUN.INF es para proteccion, dejalña estar como está



saludos



ms, 15-07-2008

[Tatuani]

Ya entendi que no ha que tocar dicha carpeta!!! :D Ahora, que hago con el archivo autorun.inf.old?? Lo elimino manualmente?? Y que pasa con el archivo 22WCB21O.EXE en dicha unidad?? Se que esta encriptada pero no x mi. Asi es como funciona este disco externo de WD. Hayalguna fporma de eliminar dicho archivo sin nececidad de formatear la unidad?? De antemano muchas gracias...

[msc hotline sat]

Puedes borra a mano el fichero si quieres, y el que lanza si lo encuentras tambien



saludos



ms, 15-07-2008

[Tatuani]

Pues nunca encontre el archivo que lanza el autorun. Asi que acabe por formatear la unidad. Problema resuelto. :D Muchas gracias x su ayuda.

[msc hotline sat]

Pues creenos y vuelve a vacuna tu ordenador con el ELIPEN, ya sabes:


[code] [quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y como que has formateado, damnos el Tema por solucionado y procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 16-07-2008