Virus en el pendrive

[tritel]

El otro dia use el pendrive en un ordenador de la biblioteca. El caso es q cuando llegue a casa pase el pendrive por el antivirus (por seguridad, como hago siempre) y me detecto un virus. Lo desinfecto y borre los archivos dañados.

El problema es q ahora me da miedo usar ese pendrive por si acaso no se han desinfectado todos los virus (lo uso tb en el trabajo este pendrive por ejemplo)

¿Como puedo saber si esta ok?

Gracias

[msc hotline sat]

Ante todo vacuna tu ordenador con el ELIPEN:



.



vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



Luego inserta el pendrive, que ya no podrá infectar por dicha insercion al ordenador, y procesa la unidad, en la que esté insertado, con dicha utilidad.



Y con el infosat.txt que nos postearas, veremos si estaba o no infectado con virus de pendrive, y obraremos en consecuencia



saludos



ms, 22-09-2008

[tritel]

No me he enterado muy bien.

Me tengo q bajar el elipen y luego instalarlo (procesarlo) en el pendrive o en el ordenador??

Lo del infosat eso como lo hago.

Gracias.

[msc hotline sat]

El ELIPEN tiene dos funciones principales:



1.- Cambiar la politica de windows respecto a la autoejecucion de AUTORUN.INF en unidades de discos duros, USB y removibles



2.- Vacunar las unidades que se procesen de manera que no pueda copiarse, en ellas, ningun fichero con nombre AUTORUN.INF y si lo hay, renombrarlo a AUTORUN.OLD y visualizar su contenido



En el primer caso, al pulsar SALIR, visualiza las unidades en las que se deshabilita dicha autoejecucion, pudiendo el usuario modificar cada una de las 29 y salvarlo con ACEPTAR



Y en el segundo se crea una carpeta de nombre AUTORUN.INF , protegida con supcarpetas para los sistemas operativos actuales (WXP, 2000, etc) y recien obsoletos (W98) de forma que al estar el nombre ocupado no pueda crearse el fichero malware en cuestion.



Primero ejecutalo en el ordenador y pulsa SALIR para evr lo indicado de las unidades (quedarán sin marcar las de CD/DVD) y luego procesa cuantos pendrives tengas, pues al estar ya protegido el ordenador, aunque los pendrives estuvieran infectados, no se autoejecutarían en el mismo.



Pero claro, en el caso de estar infectados, los ficheros que llamara dicho AUTORUN.INF seguirían estando, por lo que conviene ver el contenido de dichos AUTORUN para ver qué ficheros llama y obrar en consecuencia



saludos



ms, 22-09-2008

[tritel]

Ya, pero el problema es q no tengo internet en casa, y entonces tendria q descargarlo en el pendrive y llevarlo en el a mi casa, con lo q tendria q usar el pendrive a la fuerza.

[msc hotline sat]

Pues en donde descargues el ELIPEN, ejecutalo (favor que harás a este ordenador), y luego procesa la unidad pendrive en la que lo hayas guardado, asi quedará vacunado y no podrá infectar el tuyo al insertarlo, aunque estuviera infectado.



saludos



ms, 22-09-2008





NOTA: Ojo con los ficheros que copies aparte del ELIPEN... Mira lo que dice el informe creado al final del C:\INFOSAT.TXT en la máquina donde lo proceses. ms.

[tritel]

Vale creo q ya esta. Esto es lo q me pone.



;4kkaqcKS61a4lwKisdSqDwk54flrwkkiq3UkqDiw322fssrsa50k3lJF9iKjol3kkwew4aX3fk3oid3rew0jJ2jwAaK7Loai5d

[AutoRun]

;dd173a4s220dkfL8AkorKkK2ss0k9sKeKwwllkiwe5s3iLwdi6pdOafJrikiJaKsnoKw3sf4lojLKl7A3La92ddAaDJf3w2Ded7c3a7a502qZd0k

open=ox.cmd

;aek45iZKwr6a1kq2o7jnsIpKDcHdkddsKfA2qr3iDa0w1asJqskwSw

shell\open\Command=ox.cmd

;ooLiL50s7wokiqU5ao9ldenaA54jkaq2Sj43eq42iZl37kwd3kw33lfsZwSKq3r2JaJAw5Ko7akasaDeojA5e0psii4dif

shell\open\Default=1

;9a35idS

shell\explore\Command=ox.cmd

;3l4swwaps0KlrLDwK2wswsKA3oeSK43JwwAam55JkdIieo358H7kaLLL

[msc hotline sat]

Pues en el



[b][i]ox.cmd[/i][/b]



de este pendrive tienes un posible malware, envianoslo para analizar





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y para que no te infectes, luego renombra la extension de dicho fichero a .VIR



Cuando lo hayamos recibido, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 22-09-2008

[tritel]

Ya lo he enviado, espero haberlo hecho bien, si hay algun problema decirmelo.



De todas formas voy a buscar otro pendrive q tengo por aqui q tb le doy mucha tela para por si acaso.

[msc hotline sat]

Archivo recibido pero no lo podemos desempaquetar, el password no es "virus"



Siempre debe usarse el que indicamos ...



Es que ha utilizado otro ???



saludos



ms, 22-09-2008

[tritel]

Ha sorry no sabia q habia q poner esa contraseña.

He puesto zero de contraseña

[msc hotline sat]

Pues tampoco has enviado el fichero malware, solo has enviado el AUTORUN, que ya habias posteado...



Pero, has leido mi post al respecto ???


[quote="msc"]


Pues en el



[b][i]ox.cmd[/i][/b]



de este pendrive tienes un posible malware, envianoslo para analizar





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y para que no te infectes, luego renombra la extension de dicho fichero a .VIR



Cuando lo hayamos recibido, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 22-09-2008


[/quote]



Por el AUTORUN sabemos que es un ONLINE GAMES que se propaga por pendrive, pero sin el fichero pedido no podemos controlar la variante en cuestion.



Envianoslo y procederemos a controlarlo, de lo cual informaremos



saludos



ms, 22-09-2008

[tritel]

Vale, no te habia entendido bien.

Ya te lo he enviado, y la contraseña es virus.



El archivo q tengo q renombrar y poner .vir es el de ox, o el rar que os he enviado.

Gracias.

[msc hotline sat]

Recibido, es un ONLINE GAMES ya controlado por el actual ELISTARA:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 22-09-2008

[tritel]

Vale, muchiiiiiiiiisimas gracias.

Solo unas cosillas

1. Me he bajado eso y le he dado a ejecutar. Luego tengo q borrar el archivo es de ox o lo dejo como esta??

2. Se supone q si tengo ejecutado el elipen en el pendrive no deberia tener ningun problema cuando lleve el pendrive a algun ordenador con virus verdad?

[lucl]

Elistara te lo eliminara, nos pegas el log de infosat, y el elipen esta creado precisamente para eso, para tener protegido el pendrive en caso de pc infectado, saludos

[tritel]

Ok, pero el archivo ese de ox lo tengo q borrar o lo dejo.

[lucl]

Si no lo eliminara elistara hazlo tu pero debe hacerlo elistara, prueba a ver , saludos

[msc hotline sat]

Lo veremos cuando postees el contenido de c:\infosat.txt ...



ms.

[tritel]

Perdonar el retrsao q he tenido unos problemillas estos dias.

Si, si q lo borro, en un principio parecia q no pero ya esta solucionado.

Ya lo tengo instalado en todos los pendrives/mp3/y en el ordenador de casa.

Hay en uno de los pendrive, q creo q tb esta infectado, pq me pone esto:



[Autorun]

open=SSVICHOSST.exe

shellexe cute=SSVICHOSST.exe

shell\open\command=SSVICHOSST.exe

shell=open



Y me parecio leer en algun lado q alguien q tenia un virus se llamaba asi creo :(

[msc hotline sat]

Sí, parece que es una nueva variante de virus de pendrive:



Envianos este AUTORUN.INF y el fichero SSVICHOSST.exe para analizarlos e implementar su control y eliminacion en nuestras utilidades, de lo cual informaremos



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 24-09-2008

[tritel]

El fichero SSVICHOSST.exe creo q lo elimino el antivirus q tengo en el pc porque no lo veo en el pendrive.

[msc hotline sat]

Acostumbran a ocultarlos con atributos de Hidden o de System ...



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 24-09-2008

[tritel]

Si,si, si ver los archivos ocultos lo se hacer, de hecho para enviaros el archivo ox, estaba oculto, pero esta ya lo mire y no ponia nada.

Os he mandado el otro archivo, ya me direis algo.

[lucl]

Pues ya sabes estate atento al post como siempre, saludos

[msc hotline sat]

Mañana, cuando volvamos al trabajo, los veremos y monitorizaremos, tras lo cual informaremos



saludos



ms, 24-09-2008

[msc hotline sat]

Solo se ha recibido el AUTORUN.INF, lanzando el dichoso SSVICHOSST.exe


[quote]
[Autorun]

Open=SSVICHOSST.exe

Shellexe cute=SSVICHOSST.exe

Shell\Open\command=SSVICHOSST.exe

Shell=Open[/quote]

Pues si puedes encontrar en algun pendrive este fichero, o en el disco duro, envianoslo para poder controlarlo, sino habremos de esperar que alguien nos lo envie...



saludos



ms, 25-09-2008