autorun.inf y 1u0o8bnq.cmd (CERRADO)

[gadolf]

Tengo este par de elementos en las unidades y las abre en otras ventanas, ¿Alguna forma de sacarlos?

[msc hotline sat]

De entrada pruebe el ELISTARA, no sea que ya fuera conreolado por dicha utilidad:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de



C:\infosat.txt para ver el resultado del proceso [/quote]



Y como que parece un virus de los que se propagan por pendrive, envienos estos dos ficheros que indica para analizar y controlar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Aparte vacune su ordenador y pendrives con el ELIPEN:





.



vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 23-09-2008

[gadolf]

ya he probado el elistara y no coge nada, acabo de arrancar en modo seguro y se quedo la pantalla en negro... voy a usar el elipen y esperare mas instrucciones.

[msc hotline sat]

Pues arranca en modo seguro con funciones de red y envianos los ficheros indicados. En tres horas estaré en SATINFO y si los hemos recibido los analizaremos e informaremos



saludos



ms, 23-09-2008











NOTA



O si asi no puedes arrancar, hazlo como haces para probar las utilidades y copia dichos ficheros a la máquina desde donde posteas y nos los envias desde alli, si no puedes desde esta.



ms

[gadolf]

como puedo copiar los ficheros si aparecen ocultos??? tampoco se me permite ver los archivos ocultos.



esto es lo que sale del elistarA:





Mon Sep 22 23:45:45 2008

EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



y pues ya enviaria eso mañana, ya q aca son las 12 de la noche y tengo sueño. Gracias por su tiempo.

[msc hotline sat]

Pues felices sueños...



Dejo esto para cuando se despierte:



Si has procesado con el ELIPEN la unidad donde tienes dichos ficheros, el AUTORUN.INF ya lo habrá renombrado a AUTORUN.OLD para dejarlo aparcado, y estará visible y copiable.



En cuanto al otro, abre una ventana al DOS y ejecuta:



ATTRIB  -S -H  -R  1u0o8bnq.cmd



Tras ello quedará ya visible y podrás enviarnoslo





Y vemos en el infosat.txt que te falta instalar el SP3... lanza un windowsupdate e instalalo !!!



saludos



ms, 23-09-2008

[gadolf]

Ya he enviado los ficheros...

[msc hotline sat]

Hoy, 24 de Setiembre, es festivo en BARCELONA (la Verge de la Mercé, patrona de la ciudad) y SATINFO está cerrado, como todas las empresas.



Espero que mañana se reciban dichos ficheros y procederemos a su analisis e implementaremos sui control y eliminacion, si procede, en nuevas versiones de nuestras utilidades, de lo cual informaremos



saludos



ms, 24-09-2008

[msc hotline sat]

Recibida la muestra solicitada, VEMOS QUE YA ESTÁ CONTROLADA POR EL ACTUAL elistara:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

Aparte, al ser un ONLINE GAMES que se propaga por pendrives, recuerda vacunar el ordenador y todos los pendrives con el ELIPEN:



.



Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 25-09-2008

[gadolf]

Despues de ejecutar elistarA y elipen, tengo lo siguiente:





Mon Sep 22 23:45:45 2008

EliStartPage v17.01 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Sep 26 22:04:44 2008

EliStartPage v17.04 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Sep 26 22:10:13 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



Unidad G:\ YA esta Protegida





Veo que el 1u...cmd sigue ahi, ¿es esto normal?. Ademas no he hecho la actualizacion, ya que no se si por casualidad o por todo este rollo del virus, algo paso y no puedo conectarme a internet. Si me puede ayudar en esto tambien lo agradeceria.

[msc hotline sat]

Claro, no ha lanzado la exploracion del ELISTARA ni sobre el disco duro, ni sobre cada uno de los pendrives, en el informe solo vemos el primer paso de exploracion directa, falta el de exploracion, que evidentemente no se hizo, pues de lo contrario este 1u0o8bnq.cmd se habría detectado y eliminado.



Por si no una maraña de tenporales no le dejara llegar a ver dicha ventana, borre los ficheros que haya en c:\windows\temp\ o pruebe el ELITEMPO, o las dos cosas :wink: !



http://www.zonavirus.com/datos/descargas/70/EliTempo.asp



y tras ello pruebe de nuevo el ELISTARA, y cuando aparezca la ventana de EXPLORAR, seleccione unidad y proceda...



informenos del resultado, gracias



saludos



ms, 27-09-2008





NOTA: Y tras ello, reinicie y vea si puede acceder a Internet, sino registre las DLL típicas ... Lanzar INICIO -> EJECUTAR con cada una de estas DLL: regsvr32 softpub.dll ,

regsvr32 mssip32.dll , regsvr32 initpki.dll , ms.

[gadolf]

Pasé el elitempo y luego revise el directorio y aun habian unos elementos, los borre manualmente, pero quedo uno porque habia un proceso usandolo (¡?), despues pase el elistara y obtuve:



Fri Sep 26 23:30:19 2008

EliStartPage v17.04 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Sep 26 23:31:13 2008

EliStartPage v17.04 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\1U0O8BNQ.CMD --> Eliminado, PWS-OnLineGames.CKVO

C:\Archivos de programa\CyberLink\PowerDVD\QT3SUPPORT4.DLL --> Eliminado, ISTBar

C:\Archivos de programa\Motorola Phone Tools\CCM.DLL --> Eliminado, MoviePass

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\JuanSe\Configuración local\Temp\SINTF32.DLL --> Eliminado, Spy-CmdLineExt

C:\Documents and Settings\JuanSe\Configuración local\Temp\SINTFNT.DLL --> Eliminado, Spy-CmdLineExt



Nº Total de Directorios: 20059

Nº Total de Ficheros: 278664

Nº de Ficheros Analizados: 27097

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6



Sat Sep 27 00:02:42 2008

EliStartPage v17.04 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\1U0O8BNQ.CMD --> Eliminado, PWS-OnLineGames.CKVO

D:\Adolfo\Electrónica\calcucap\CALCUCAP..EXE --> Eliminado, Malware.WINDOSW

D:\Archivos de programa\Graph\THUMBNAILS.DLL --> Eliminado, Spy.Delf (BHO)



Nº Total de Directorios: 10373

Nº Total de Ficheros: 91034

Nº de Ficheros Analizados: 2941

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Sat Sep 27 00:06:55 2008

EliStartPage v17.04 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 25 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\1U0O8BNQ.CMD --> Eliminado, PWS-OnLineGames.CKVO



Nº Total de Directorios: 193

Nº Total de Ficheros: 3012

Nº de Ficheros Analizados: 53

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Respecto a lo de la conexion, hago lo de inicio>ejecutar... y todo sale bn. ¿Aca tambien me pueden ayudar con este asunto, o solo troyanos, virus, spyware y adware?

[lucl]

Supongo que no habra ningun problema en que lo plantees aqui , si ya hemos eliminado los bichos correspondientes deberias poder conectarte bien , comentanos como va la cosa aqui mismo y ya veremos saludos

[gadolf]

Con mis pocos conocimientos de sistemas, creo q el problema tiene que ver con algo del controlador del adaptador de red, entro por el administrador de dispositivos y hay problemas con la tarjeta de red, ademas en "dispositivos q no son plug and play", me salen errores con unas cosas de tcp/ip y otras cosas, en si, dice q no se pueden iniciar los controladores:



psched.sys

ndistapi.sys

raspptp.sys



AFD.sys

tcpip.sys

Netbt.sys

ipnat.sys



Tambien ejecuto el comando ipconfig en el simbolo del sistema, y sale un error.



Esto es todo lo que les puedo comentar de este caso. Y gracias por ayudarme a sacar este virus.

[msc hotline sat]

Posiblemente tengas algo mal en el windows, además del virus que tenías, lanza una Reparacion de sistema:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



saludos



ms, 28-09-2008

[gadolf]

Ya he hecho otra cosa... Formatee C:\, al parecer eran algunos programas q entraban en conflicto (palabras de un amigo q sabe de sistemas), y opté por esta opcion. Igualmente gracias por la colaboracion prestada y creo q queda clausurado el tema.



Ahhh una ultima cosa, la carpeta Autorun.inf, se deja alli y ya? no es necesario borrarla??

[msc hotline sat]

Tras hacer lo que le ha indicado su amigo pocos AUTORUN le van a quedar (ni eso ni nada !)



Y dando por terminado el Tema procedemos a cerrarlo



saludos



ms, 1 de Octubre de 2008