Virus se autoenvian por messenger y bloquean PC(SOLUCIONADO)

[Mauro]

Saludos

Solicito nuevamente su apreciada ayuda. Otravez tengo mi PC invadido por virus que se autoenvian por messenger, bloquen el ingreso a modo seguro, CCleaner, Spybot - Search & Destroy, Spyware Doctor, restaurar sistema. Aplique Elistara, Elitrip y avo line, les envio los reultados.

Gracias por su ayuda. Y como hago para que no vulvan a entrar ¿Existe algun parche? que les impida el regreso al ataque.







Fri Nov 21 07:59:11 2008

EliTriIP v5.27 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5347

Nº Total de Ficheros: 106842

Nº de Ficheros Analizados: 13897

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 21 09:09:01 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida

Eliminados Ficheros Temporales del IE



Fri Nov 21 09:09:27 2008

EliStartPage v17.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5348

Nº Total de Ficheros: 106878

Nº de Ficheros Analizados: 15182

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



viernes, 21 de noviembre de 2008 18:24:20

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 21/11/2008

Registros en la base antivirus: 1256033

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\

Estadísticas

Número de objeros analizados 110832

Virus encontrados 9

Objetos infectados 38 / 0

Objetos sospechosos 0

Duración del análisis 01:54:03



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Winks Instalador\msngserv.exe Infectados: Trojan.Win32.StartPage.cyn saltado

C:\Documents and Settings\All Users\Datos de programa\McAfee\SiteAdvisor\SA.dat Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\Content.IE5\S1PEPAFG\log[9].txt Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Historial\History.IE5\MSHist012008112120081122\index.dat Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Temp\48.exe Infectados: Trojan.Win32.Agent.aoyl saltado

C:\Documents and Settings\ASROCK\Configuración local\Temp\68.exe Infectados: Trojan.Win32.Agent.aoyl saltado

C:\Documents and Settings\ASROCK\Configuración local\Temp\hpodvd09.log Object is locked saltado

C:\Documents and Settings\ASROCK\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Incomplete\Preview-T-5745425-cancion para una madre.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\arcangel y de la ghetto talent(1).mp3 Infectados: Trojan-Downloader.WMA.GetCodec.n saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\arcangel y de la ghetto talent(2).mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\arcangel y de la ghetto talent.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\body can i hold you.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\cancion para mama y papa.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\cancion para mama.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\cancion para un cena especial.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\cancion para una madre.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\dady yankee - somo asi.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\estas son las mananitas.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\flour natural -tito el bambino.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\julio volto - minifalda.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\julio volto-mini falda(1).mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\marc anthony - asi como hoy.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\Raiza Lopez\sonido\HOMBRE G\arcangel y de la ghetto talent(1).mp3 Infectados: Trojan-Downloader.WMA.GetCodec.n saltado

C:\Documents and Settings\ASROCK\Mis documentos\Raiza Lopez\sonido\HOMBRE G\arcangel y de la ghetto talent(2).mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\Raiza Lopez\sonido\HOMBRE G\arcangel y de la ghetto talent.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\Raiza Lopez\sonido\HOMBRE G\julio volto - minifalda.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\Mis documentos\Raiza Lopez\sonido\HOMBRE G\julio volto-mini falda(1).mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\Documents and Settings\ASROCK\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\ASROCK\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1014.zip/NuevaImagen05.JPG_ScannedByMsn.com Infectados: Worm.Win32.Agent.kn saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1014.zip ZIP: infectado - 1 saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1015.zip/photoMAGNIFICA2.JPG-ScannedByMsn.com Infectados: Worm.Win32.Agent.kh saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1015.zip ZIP: infectado - 1 saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1016.zip/imagenPrivada02.JPEG-VerifiedByMsn.com Infectados: Worm.Win32.Agent.kn saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1016.zip ZIP: infectado - 1 saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1007\Dc24\The Sims 2\Groups.cache Object is locked saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1007\Dc8\Desktop.ini Object is locked saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1007\Dc8\Música de muestra.lnk Object is locked saltado

C:\System Volume Information\catalog.wci\00000002.ps1 Object is locked saltado

C:\System Volume Information\catalog.wci\00000002.ps2 Object is locked saltado

C:\System Volume Information\catalog.wci\00010012.ci Object is locked saltado

C:\System Volume Information\catalog.wci\cicat.fid Object is locked saltado

C:\System Volume Information\catalog.wci\cicat.hsh Object is locked saltado

C:\System Volume Information\catalog.wci\CiCL0001.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiP10000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiP20000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiPT0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiSL0001.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiSP0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiST0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiVP0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\INDEX.000 Object is locked saltado

C:\System Volume Information\catalog.wci\propstor.bk1 Object is locked saltado

C:\System Volume Information\catalog.wci\propstor.bk2 Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128595.sys Infectados: Rootkit.Win32.Agent.ejr saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128606.sys Infectados: Rootkit.Win32.Agent.ejr saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128618.sys Infectados: Rootkit.Win32.Agent.ejr saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP236\A0131680.sys Infectados: Rootkit.Win32.Agent.ejr saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP242\A0134021.sys Infectados: Rootkit.Win32.Agent.ejr saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP246\A0134198.sys Infectados: Rootkit.Win32.Agent.ejr saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\pfirewall.log Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\ndisio.sys Object is locked saltado

C:\WINDOWS\system32\drivers\qkanrmmc.sys Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\symldrv.exe Infectados: Worm.Win32.AutoRun.qci saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\sqlite_4C6MS3X2tLcHH9n Object is locked saltado

C:\WINDOWS\Temp\sqlite_GEYQsDvdfqrmLBF Object is locked saltado

C:\WINDOWS\Temp\sqlite_JIoi0Lfiqq02R9B Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\stcvhost.exe Infectados: Worm.Win32.AutoRun.eek saltado

F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe Infectados: Worm.Win32.AutoRun.qci saltado

Análisis completado.

[msc hotline sat]

Pues tiene una buena coleccion de bichos ! :

Virus encontrados 9
Objetos infectados 38 / 0


De entrada estos parecen ser dos virus de los que se propagan por pendrive:

F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\stcvhost.exe Infectados: Worm.Win32.AutoRun.eek saltado
F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe Infectados: Worm.Win32.AutoRun.qci saltado

Asi que vacune su ordenador y pendrives con el ELIPEN:


vacune todas sus unidades de disco y pendrive con el ELIPEN:

ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

VEMOS QUE VACUNÓ EL ORDENADOR Y EL DISCO DURO, PERO NO PROCESO LAS UNIDADES DE PENDRIVE ... DEBE VACUNARLOS, PARA QUE NO SE LE INFECTEN Y PARA QUE NO INFECTEN !!!

Ademas, vemos:

C:\Archivos de programa\Winks Instalador\msngserv.exe Infectados: Trojan.Win32.StartPage.cyn saltado


C:\Documents and Settings\ASROCK\Configuración local\Temp\48.exe Infectados: Trojan.Win32.Agent.aoyl saltado
C:\Documents and Settings\ASROCK\Configuración local\Temp\68.exe Infectados: Trojan.Win32.Agent.aoyl saltado

C:\WINDOWS\system32\symldrv.exe Infectados: Worm.Win32.AutoRun.qci saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Incomplete\Preview-T-5745425-cancion para una madre.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\arcangel y de la ghetto talent(1).mp3 Infectados: Trojan-Downloader.WMA.GetCodec.n saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\arcangel y de la ghetto talent(2).mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\arcangel y de la ghetto talent.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\body can i hold you.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\cancion para mama y papa.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\cancion para mama.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\cancion para un cena especial.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\cancion para una madre.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\dady yankee - somo asi.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\estas son las mananitas.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\flour natural -tito el bambino.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\julio volto - minifalda.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\julio volto-mini falda(1).mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\marc anthony - asi como hoy.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\Raiza Lopez\sonido\HOMBRE G\arcangel y de la ghetto talent(1).mp3 Infectados: Trojan-Downloader.WMA.GetCodec.n saltado
C:\Documents and Settings\ASROCK\Mis documentos\Raiza Lopez\sonido\HOMBRE G\arcangel y de la ghetto talent(2).mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\Raiza Lopez\sonido\HOMBRE G\arcangel y de la ghetto talent.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\Raiza Lopez\sonido\HOMBRE G\julio volto - minifalda.mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado
C:\Documents and Settings\ASROCK\Mis documentos\Raiza Lopez\sonido\HOMBRE G\julio volto-mini falda(1).mp3 Infectados: Trojan-Downloader.WMA.GetCodec.c saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1014.zip/NuevaImagen05.JPG_ScannedByMsn.com Infectados: Worm.Win32.Agent.kn saltado
C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1014.zip ZIP: infectado - 1 saltado
C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1015.zip/photoMAGNIFICA2.JPG-ScannedByMsn.com Infectados: Worm.Win32.Agent.kh saltado
C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1015.zip ZIP: infectado - 1 saltado
C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1016.zip/imagenPrivada02.JPEG-VerifiedByMsn.com Infectados: Worm.Win32.Agent.kn saltado
C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1016.zip ZIP: infectado - 1 saltado

y estos en el RESTORE:

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128595.sys Infectados: Rootkit.Win32.Agent.ejr saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128606.sys Infectados: Rootkit.Win32.Agent.ejr saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128618.sys Infectados: Rootkit.Win32.Agent.ejr saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP236\A0131680.sys Infectados: Rootkit.Win32.Agent.ejr saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP242\A0134021.sys Infectados: Rootkit.Win32.Agent.ejr saltado
C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP246\A0134198.sys Infectados: Rootkit.Win32.Agent.ejr saltado


PROCESO A SEGUIR:

Para estos 6 últimos que están en el RESTORE, simplemente desactive la restauracion de sistema, arranque en modo seguro y lance su antivirus, que asi podrá llegar hasta esta zona reservada y los eliminará.

Para los .WMA y .MP3, eliminelos directamente.

y para los demás, de momento renombre su extension a .VIR a todos ellos, para que no se puedan poner en marcha tras reiniciar, y envienos estas muestras para analizar, empaquetados en un ZIP o RAR con password virus:


C:\Archivos de programa\Winks Instalador\msngserv.exe

C:\Documents and Settings\ASROCK\Configuración local\Temp\48.exe

C:\WINDOWS\system32\symldrv.exe

y estos tambien, que son los que le llegaron con las dichosas "fotos magnificas, imagenes privadas, y nuevas imagenes"..., abra una ventana al DOS, y en dicho modo acceda a la carpeta en cuestion con
< CD C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\ > y <enter> y una vez alli copielos a C:\MUESTRAS\ (con un simple COPY) para asi podernoslos empaquetar con los tres anteriore4s y enviar

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1014.zip

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1015.zip

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1016.zip


Cuando los recibamos, los analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos

saludos

ms, 22-11-2008




NOTA: Fijarse que los ficheros que habia dentro de los ZIP recibidos por messenger, no era fotos .JPG como podian parecer, sino ficheros .COM, como puede verse al final de su nombre, por ejemplo este ZIP:

Dc1014.zip el fichero que contenía era NuevaImagen05.JPG_ScannedByMsn.com

aunque pudiera parecer un fichero JPG contenido en una web ScannedByMsn.com

[msc hotline sat]

Y quedaron descolgados estos dos ficheros:
F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\stcvhost.exe Infectados: Worm.Win32.AutoRun.eek saltado
F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe Infectados: Worm.Win32.AutoRun.qci saltado

que aunque una vez vacunados con el ELIPEN los pendrives que los contienen, ya no serán autoejecutados, conviene que tambien nos envie muestras, para lo que quizas le será comodo explorar con el ELISTARA dichos pendrives, y asi los moverá a la carpeta C:\muestras, y sino hagalo desde el DOS, como le hemos explicado para los otros .

Es que por lo que vemos en el infosat.txt, vacunó el disco duro y el ordenador, pero no los pendrives !!!. proceselos todos con dicha utilidad.

saludos

ms, 22-11-2008

[Mauro]

Bien Saludos

Aqui les envio resultados despues de aplicar Eliatara y Elipen a Pendrive:



Fri Nov 21 07:59:11 2008

EliTriIP v5.27 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5347

Nº Total de Ficheros: 106842

Nº de Ficheros Analizados: 13897

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Nov 21 09:09:01 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida

Eliminados Ficheros Temporales del IE



Fri Nov 21 09:09:27 2008

EliStartPage v17.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5348

Nº Total de Ficheros: 106878

Nº de Ficheros Analizados: 15182

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Nov 22 02:21:10 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Unidad F:\ Protegida



Sat Nov 22 02:29:54 2008

EliStartPage v17.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 008i.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.008k.com

....... Etcetera

Restaurada Clave: "SafeBoot\Minimal y Network"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE





Mon Nov 24 03:20:39 2008

EliStartPage v17.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 18

Nº Total de Ficheros: 100

Nº de Ficheros Analizados: 30

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Nov 24 03:21:38 2008

EliTriIP v5.27 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 008i.com

.........Etcetera

Mon Nov 24 03:22:09 2008

EliTriIP v5.27 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 18

Nº Total de Ficheros: 100

Nº de Ficheros Analizados: 27

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Nov 24 03:23:24 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida

[msc hotline sat]

Pues ahora envienos los ficheros que le pediamos:

PROCESO A SEGUIR:
Para estos 6 últimos que están en el RESTORE, simplemente desactive la restauracion de sistema, arranque en modo seguro y lance su antivirus, que asi podrá llegar hasta esta zona reservada y los eliminará.
Para los .WMA y .MP3, eliminelos directamente.
y para los demás, de momento renombre su extension a .VIR a todos ellos, para que no se puedan poner en marcha tras reiniciar, y envienos estas muestras para analizar, empaquetados en un ZIP o RAR con password virus:


C:\Archivos de programa\Winks Instalador\msngserv.exe
C:\Documents and Settings\ASROCK\Configuración local\Temp\48.exe
C:\WINDOWS\system32\symldrv.exe

y estos tambien, que son los que le llegaron con las dichosas "fotos magnificas, imagenes privadas, y nuevas imagenes"..., abra una ventana al DOS, y en dicho modo acceda a la carpeta en cuestion con
< CD C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\ > y <enter> y una vez alli copielos a C:\MUESTRAS\ (con un simple COPY) para asi podernoslos empaquetar con los tres anteriore4s y enviar

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1014.zip

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1015.zip

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1016.zip


Cuando los recibamos, los analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos

y tambien los de esta unidad pendrive en la que se localizo estos:

F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\stcvhost.exe Infectados: Worm.Win32.AutoRun.eek saltado
F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe Infectados: Worm.Win32.AutoRun.qci saltado

Cuando los recibamos, los analizaremos e implementaremos su control y eliminación en nuestras utilidades, de lo cual informaremos

saludos

ms, 24-11-2008

[Mauro]

Cin respecto a Para los .WMA y .MP3, eliminelos directamente.
YA FUERON ELIMINADOS DIRECTAMENTE

C:\Archivos de programa\Winks Instalador\msngserv.exe Infectados: Trojan.Win32.StartPage.cyn saltado Enviada muestra y cambiado a .vir
C:\Documents and Settings\ASROCK\Configuración local\Temp\48.exe Infectados: Trojan.Win32.Agent.aoyl saltado Enviada muestra y cambiado a .vir
C:\Documents and Settings\ASROCK\Configuración local\Temp\68.exe Infectados: Trojan.Win32.Agent.aoyl saltado No encontrado
C:\WINDOWS\system32\symldrv.exe Infectados: Worm.Win32.AutoRun.qci saltado No encontrado
LOS QUE SE ENCONTRARON FUERON RENOMBRADOS A .VIR
Para estos 6 últimos que están en el RESTORE, simplemente desactive la restauracion de sistema, arranque en modo seguro y lance su antivirus, que asi podrá llegar hasta esta zona reservada y los eliminará.
lA RESTAURACION DEL SISTEMA YA ESTA DESACTIVADA POR EL MISMO VIRUS AL IGUAL QUE EL ARRANQUE EN MODO SEGURO, POR LO QUE NO PUEDO REVISAR EN MODO DEGURO, ¿COMO HAGO?

y estos tambien, que son los que le llegaron con las dichosas "fotos magnificas, imagenes privadas, y nuevas imagenes"..., abra una ventana al DOS, y en dicho modo acceda a la carpeta en cuestion con
< CD C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\ > y <enter> y una vez alli copielos a C:\MUESTRAS\ (con un simple COPY) para asi podernoslos empaquetar con los tres anteriore4s y enviar
C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1014.zip
C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1015.zip
C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1016.zip
TAMBIEN EL VIRUS NO ME PERMITE ABRIR LA VENTANA DEL DOS, POR LO QUE NO PUEDO ENVIARLES LO SOLICITADO

F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\stcvhost.exe Infectados: Worm.Win32.AutoRun.eek saltado
F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe Infectados: Worm.Win32.AutoRun.qci saltado
que aunque una vez vacunados con el ELIPEN los pendrives que los contienen, ya no serán autoejecutados, conviene que tambien nos envie muestras, para lo que quizas le será comodo explorar con el ELISTARA dichos pendrives, y asi los moverá a la carpeta C:\muestras, y sino hagalo desde el DOS, como le hemos explicado para los otros .
SE APLICO EL ELISTARA Y NO SE MOVIERON A LA CARPETA C:\MUESTRA ¿PORQUE? Y COMO YA DIJE NO PUEDO EBRIR LA VENTANA DEL DOS, EL VIRUS NO ME LO PERMITE
GRACIAS Y QUEDO EN ESPERA DE SUS INDICACIONES AL RESPECTO

[msc hotline sat]

Los del SYSTEM VOLUME INFORMATION_RESTORE, no le deben preocupar, estan aparcados y ya los eliminaremos al final, cuando ya no hayan virus activos y pueda arrancar en modo seguro y demas.



Vamos a por los del RECYCLER;



El ELISTARA mueve a la carpeta de muestras los que encuentra que son lanzandos por los AUTORUN.INF, que muchas veces son ociltados copiandolos en dicha carpeta



Pero los que existan porque los ha copiado cualquier virus o malware sin que sean lanzados por ningun AUTORUN.INF, si no son "delincuentes habituales" y no se les conoce el nombre, solo se les controla por cadenas de deteccion, y si no coinciden con las que se conocen de las variantes controladas, solo si se quiere buscar y mover algo en concreto, como por ejemplo hoy un hdav.exe que especificamente se quiera "aparcar", debe hacerse a mano, desde DOS, como ya indicamos.



Vemos que nos recuerda que no puede abrir una ventana al DOS (hace muy bien de recordarnoslo :wink: ), pues vamos a controlar estos dos especificamente, para moverlos y que nos los pueda enviar, para poder analizarlos.



En el ELISTARA de hoy 17.48, lo implementaremos, vea de enviarnos muestra de dichos ficheros para analizar (evidentemente explore la unidad indicada, si es una USB de pendrive, vaya explorando sus pendrives hasta que la encuentra.



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





Y una vez los recibamos, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 24-11-2008

[msc hotline sat]

Además, y vista la dificultad que muchos virus con llevan al deshabilitar el acceso al DOS, el impedir arrancar en modo seguro, al impedir acceder a opciones de carpeta, etc, de modo que el acceso a las muestras se hace dificil para que el usuario nos las pueda enviar para analizar, vamos a editar nueva utilidad ELIMOVER.EXE



Esta nueva ELIMOVER.EXE , copiará a C:\MUESTRAS el fichero del que se le indique ruta y nombre, aunque esté en carpeta RECYCLER... y esté oculto o con atributos de sistema, dejandolo sin atributos y en la carpeta C:\MUESTRAS para facilitar su envio.



Y por si se quiere renombrar el fichero original a extension .VIR, con lo que quedará desactivado y no podrá ser ejecutado automaticamente en proximos reinicios, se dispondrá de una casilla que permitirá dejarlo renombrado a extension .VIR, con lo cual seguirá siendo detectable y eliminable por nuestras utilidades, una vez controlado, pero ya inoperativo.



Con ello creemos que se facilitará mucho el acceso y aparcado de dichos ficheros sospechosos, dificultado por los virus que tan de moda se estan poniendo ultimamente.



Ya informaremos cuando esté lista dicha utilidad, que su post nos ha decidido a desarrollar



saludos



ms, 24-11-2008

[msc hotline sat]

Creada la utilidad ELIMOVER.EXE , ver mas informacion en :

http://www.zonavirus.com/descargas/elimover.asp

saludos

ms, 24-11-2008

[msc hotline sat]

Ya subida la version 17.48 del ELISTARA



Puedes descargarla y probarla



Comentanos el resultado, gracias



saludos



ms, 24-11-2008

[Mauro]

Saludos a todos

No pude atender antes sus mensajes, muchas gracias por su atención, me siento honrado y orgulloso, de que mi post haya gernerado la necesidad de una nueva utilidad para el beneficio de todos y que es de ayuda en la lucha contra los virus, tambien me alegra tener contecto y estar suscrito a zonavirus. Felicitaciones a todos. He inviado muestras encontradas por Elimover, no se si se me haya pasado alguno pienso hacer una revision online para asegurarme.



Aqui envio aplicacion de Elistara 17,52:



Sat Nov 29 07:33:47 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Winks Instalador\MSNGSERV.VIR --> Eliminado, StartPage-CYN



Nº Total de Directorios: 5668

Nº Total de Ficheros: 109630

Nº de Ficheros Analizados: 15638

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Sat Nov 29 08:17:30 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 18

Nº Total de Ficheros: 100

Nº de Ficheros Analizados: 30

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Nov 29 08:44:27 2008

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe" -> Copiado a "C:\Muestras"

Fichero: "F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe" -> Renombrado a .VIR



Sat Nov 29 08:56:25 2008

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\symldrv.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\symldrv.exe" -> NO pudo ser Renombrado a .VIR

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128595.sys" -> Copiado a "C:\Muestras"

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128595.sys" -> Renombrado a .VIR

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128606.sys" -> Copiado a "C:\Muestras"

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128606.sys" -> Renombrado a .VIR

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128618.sys" -> Copiado a "C:\Muestras"

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128618.sys" -> Renombrado a .VIR

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP236\A0131680.sys" -> Copiado a "C:\Muestras"

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP236\A0131680.sys" -> Renombrado a .VIR

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP242\A0134021.sys" -> Copiado a "C:\Muestras"

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP242\A0134021.sys" -> Renombrado a .VIR

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP246\A0134198.sys" -> Copiado a "C:\Muestras"

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP246\A0134198.sys" -> Renombrado a .VIR



Sat Nov 29 09:12:30 2008

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\symldrv.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\symldrv.exe" -> NO pudo ser Renombrado a .VIR

[msc hotline sat]

Pues comprueba que este haya sido copiado en c:\muestras, y envianoslo para analizar:

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------
Fichero: "C:\WINDOWS\system32\symldrv.exe" -> Copiado a "C:\Muestras"

sino, será cuestion de arrancar en modo seguro a ver si asi lo encuentra y lo puede copiar, ES MUY IMPORTANTE ANALIZARLO Y CONTROLARLO !!!

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos

ms, 29-11-2008

[Mauro]

Bien Elimover realizado varias veces indica(NO pudo ser Renombrado a .VIR):

Sat Nov 29 09:12:30 2008

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\symldrv.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\symldrv.exe" -> NO pudo ser Renombrado a .VIR



Sat Nov 29 10:10:35 2008

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\symldrv.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\symldrv.exe" -> NO pudo ser Renombrado a .VIR



Sat Nov 29 22:57:43 2008

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\symldrv.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\symldrv.exe" -> NO pudo ser Renombrado a .VIR



Envio tambien una revisión online:

sábado, 29 de noviembre de 2008 20:40:12

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 29/11/2008

Registros en la base antivirus: 1277906

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\

Estadísticas

Número de objeros analizados 114418

Virus encontrados 7

Objetos infectados 36 / 0

Objetos sospechosos 0

Duración del análisis 04:17:47



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\All Users\Datos de programa\McAfee\SiteAdvisor\SA.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Pure Networks\Log\logfile.nmctxth_exe.txt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Pure Networks\Log\logfile.nmsrvc_exe.txt Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\Content.IE5\S1PEPAFG\high_body[1].jpg Infectados: Trojan.Win32.Agent.aoyl saltado

C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\Content.IE5\XPBMWMD4\file[1].txt Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\Content.IE5\XPBMWMD4\file[2].txt Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Historial\History.IE5\MSHist012008112920081130\index.dat Object is locked saltado

C:\Documents and Settings\ASROCK\Configuración local\Temp\78.exe Infectados: Trojan.Win32.Agent.aoyl saltado

C:\Documents and Settings\ASROCK\Configuración local\Temp\86.exe Infectados: Trojan.Win32.Agent.aoyl saltado

C:\Documents and Settings\ASROCK\Configuración local\Temp\hpodvd09.log Object is locked saltado

C:\Documents and Settings\ASROCK\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\alexisd y fido-subete - greatest hits.wma Infectados: Trojan-Downloader.WMA.Wimad.n saltado

C:\Documents and Settings\ASROCK\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\ASROCK\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\ELISTARA.%D8HABB%D8%D8H.EXE Infectados: Trojan-Downloader.Win32.IstBar.gfb saltado

C:\Muestras\A0128595.sys.Muestra EliMover v1.0 Infectados: Rootkit.Win32.Agent.ejr saltado

C:\Muestras\A0128606.sys.Muestra EliMover v1.0 Infectados: Rootkit.Win32.Agent.ejr saltado

C:\Muestras\A0128618.sys.Muestra EliMover v1.0 Infectados: Rootkit.Win32.Agent.ejr saltado

C:\Muestras\A0131680.sys.Muestra EliMover v1.0 Infectados: Rootkit.Win32.Agent.ejr saltado

C:\Muestras\A0134021.sys.Muestra EliMover v1.0 Infectados: Rootkit.Win32.Agent.ejr saltado

C:\Muestras\A0134198.sys.Muestra EliMover v1.0 Infectados: Rootkit.Win32.Agent.ejr saltado

C:\Muestras\shellrun.exe.Muestra EliMover v1.0 Infectados: Worm.Win32.AutoRun.qci saltado

C:\Muestras\SHELLRUN.EXE.Muestra EliStartPage v17.52 Infectados: Worm.Win32.AutoRun.qci saltado

C:\Muestras\symldrv.exe.Muestra EliMover v1.0 Infectados: Worm.Win32.AutoRun.qci saltado

C:\Muetra Mauro1.zip/Muestras/A0128595.sys.Muestra EliMover v1.0 Infectados: Rootkit.Win32.Agent.ejr saltado

C:\Muetra Mauro1.zip/Muestras/A0128606.sys.Muestra EliMover v1.0 Infectados: Rootkit.Win32.Agent.ejr saltado

C:\Muetra Mauro1.zip/Muestras/A0128618.sys.Muestra EliMover v1.0 Infectados: Rootkit.Win32.Agent.ejr saltado

C:\Muetra Mauro1.zip/Muestras/A0131680.sys.Muestra EliMover v1.0 Infectados: Rootkit.Win32.Agent.ejr saltado

C:\Muetra Mauro1.zip/Muestras/A0134021.sys.Muestra EliMover v1.0 Infectados: Rootkit.Win32.Agent.ejr saltado

C:\Muetra Mauro1.zip/Muestras/A0134198.sys.Muestra EliMover v1.0 Infectados: Rootkit.Win32.Agent.ejr saltado

C:\Muetra Mauro1.zip/Muestras/shellrun.exe.Muestra EliMover v1.0 Infectados: Worm.Win32.AutoRun.qci saltado

C:\Muetra Mauro1.zip/Muestras/SHELLRUN.EXE.Muestra EliStartPage v17.52 Infectados: Worm.Win32.AutoRun.qci saltado

C:\Muetra Mauro1.zip/Muestras/symldrv.exe.Muestra EliMover v1.0 Infectados: Worm.Win32.AutoRun.qci saltado

C:\Muetra Mauro1.zip ZIP: infectado - 9 saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc992.EXE Infectados: Trojan-Downloader.Win32.IstBar.gex saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1007\Dc24\The Sims 2\Groups.cache Object is locked saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1007\Dc8\Desktop.ini Object is locked saltado

C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1007\Dc8\Música de muestra.lnk Object is locked saltado

C:\System Volume Information\catalog.wci\00000002.ps1 Object is locked saltado

C:\System Volume Information\catalog.wci\00000002.ps2 Object is locked saltado

C:\System Volume Information\catalog.wci\00010003.ci Object is locked saltado

C:\System Volume Information\catalog.wci\cicat.fid Object is locked saltado

C:\System Volume Information\catalog.wci\cicat.hsh Object is locked saltado

C:\System Volume Information\catalog.wci\CiCL0001.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiP10000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiP20000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiPT0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiSL0001.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiSP0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiST0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiVP0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\INDEX.000 Object is locked saltado

C:\System Volume Information\catalog.wci\propstor.bk1 Object is locked saltado

C:\System Volume Information\catalog.wci\propstor.bk2 Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128595.sys.vir Infectados: Rootkit.Win32.Agent.ejr saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128606.sys.vir Infectados: Rootkit.Win32.Agent.ejr saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP230\A0128618.sys.vir Infectados: Rootkit.Win32.Agent.ejr saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP236\A0131680.sys.vir Infectados: Rootkit.Win32.Agent.ejr saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP242\A0134021.sys.vir Infectados: Rootkit.Win32.Agent.ejr saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP246\A0134198.sys.vir Infectados: Rootkit.Win32.Agent.ejr saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\A0138461.exe Infectados: Trojan.Win32.StartPage.cyn saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\A0141862.sys Infectados: Rootkit.Win32.Agent.ejr saltado

C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\pfirewall.log Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\ndisio.sys Object is locked saltado

C:\WINDOWS\system32\drivers\qkanrmmc.sys Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\symldrv.exe Infectados: Worm.Win32.AutoRun.qci saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\hsperfdata_SYSTEM\772 Object is locked saltado

C:\WINDOWS\Temp\sqlite_cJnPZVgRFkYt3A7 Object is locked saltado

C:\WINDOWS\Temp\sqlite_gPwemM5yB51I9Fi Object is locked saltado

C:\WINDOWS\Temp\sqlite_qvEFCzpnBbeqOEO Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe.vir Infectados: Worm.Win32.AutoRun.qci saltado

F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe Infectados: Worm.Win32.AutoRun.qci saltado

[Mauro]

Saludos como se daran cuenta el virus se vuelve a reproducir asi que no hay que darle oportunidad de seguir reproduciendose, todavia no puedo arrancar en modo seguro, no puedo entrar por el simbolo del DOS, no puedo usar ejecutar tampoco y mas...... :cry:

Gracias por todo y quedo en espera de mas instucciones tras enviarles muestras de:



Sat Nov 29 23:37:13 2008

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\Documents and Settings\ASROCK\Configuración local\Temp\78.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\ASROCK\Configuración local\Temp\78.exe" -> Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\ASROCK\Configuración local\Temp\78.exe" -> Renombrado a .VIR

Fichero: "C:\Documents and Settings\ASROCK\Configuración local\Temp\86.exe " -> Copiado a "C:\Muestras"

Fichero: "C:\Documents and Settings\ASROCK\Configuración local\Temp\86.exe " -> Renombrado a .VIR

Fichero: "C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc992.EXE " -> Copiado a "C:\Muestras"

Fichero: "C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc992.EXE " -> Renombrado a .VIR

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\A0138461.exe " -> Copiado a "C:\Muestras"

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\A0138461.exe " -> Renombrado a .VIR

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\A0141862.sys " -> Copiado a "C:\Muestras"

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\A0141862.sys " -> Renombrado a .VIR

Fichero: "C:\WINDOWS\system32\symldrv.exe " -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\symldrv.exe " -> NO pudo ser Renombrado a .VIR

Fichero: "C:\WINDOWS\system32\symldrv.exe " -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\symldrv.exe " -> NO pudo ser Renombrado a .VIR

Fichero: "F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe " -> Copiado a "C:\Muestras"

Fichero: "F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe " -> Renombrado a .VIR



Y como veran C:\WINDOWS\system32\symldrv.exe " -> NO pudo ser Renombrado a .VIR Elimover no puede neutralizar el virus. ¿Que se puede hacer? Gracias :)

[Mauro]

Y tras aplicar un Elistara(no en modo seguro, ya que todavia no es posible realizarlo en modo seguro, porque esta funcion sigue bloqueada) tenemos el infosat.txt:

Sun Nov 30 00:30:29 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\A0138461.EXE .MUESTRA ELIMOVER V1.0 --> Eliminado, StartPage-CYN



Nº Total de Directorios: 5666

Nº Total de Ficheros: 109697

Nº de Ficheros Analizados: 15644

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Sun Nov 30 00:41:44 2008

EliStartPage v17.52 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 18

Nº Total de Ficheros: 102

Nº de Ficheros Analizados: 32

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues envianos especialmente para analizar este que tienes en C:\muestras:



C:\Muestras\shellrun.exe.Muestra EliMover v1.0 Infectados: Worm.Win32.AutoRun.qci saltado



Este Shellrun.exe vemos que aunque está renombrado a .VIR, persiste como .EXE , asi que sigue activo, y por mas que se restauren las claves de registro, este las vuelve a modificar.



saludos



ms, 30-11-2008









NOTA:

Aparte elimina estos ficheros, que son temporales y demas:





C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\Content.IE5\S1PEPAFG\high_body[1].jpg Infectados: Trojan.Win32.Agent.aoyl saltado



C:\Documents and Settings\ASROCK\Configuración local\Temp\78.exe Infectados: Trojan.Win32.Agent.aoyl saltado



C:\Documents and Settings\ASROCK\Configuración local\Temp\86.exe Infectados: Trojan.Win32.Agent.aoyl saltado



C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\alexisd y fido-subete - greatest hits.wma Infectados: Trojan-Downloader.WMA.Wimad.n saltado





Los del RESTORE debes eliminarlos cuando esté solucionado el problema y puedas arrancar enmodo seguro y en dicho modo lanzar el antivirus con la restauracion de sikstema desactivada.



ms.

[Mauro]

Ya habia enviado muestra de C:\Muestras\shellrun.exe.Muestra EliMover v1.0, igual la envio de nuevo



Y estos los elimine directamente, ¿Es asi que se debe eliminar?



C:\Documents and Settings\ASROCK\Configuración local\Archivos temporales de Internet\Content.IE5\S1PEPAFG\high_body[1].jpg Infectados: Trojan.Win32.Agent.aoyl saltado [color=#FF0000]No encontrado[/color]



C:\Documents and Settings\ASROCK\Configuración local\Temp\78.exe Infectados: Trojan.Win32.Agent.aoyl saltado [color=#FF0000]Eliminado directamente a traves de función buscar, ya que no puedo encontrarlo por: mostrar archivos ocultos, ya que esta función esta bloqueada tambien[/color]



C:\Documents and Settings\ASROCK\Configuración local\Temp\86.exe Infectados: Trojan.Win32.Agent.aoyl saltado

[color=#FF0000]Eliminado directamente a traves de función buscar, ya que no puedo encontrarlo por: mostrar archivos ocultos, ya que esta función esta bloqueada tambien[/color]



C:\Documents and Settings\ASROCK\Mis documentos\DANIELA\Mis musicas\alexisd y fido-subete - greatest hits.wma Infectados: Trojan-Downloader.WMA.Wimad.n [color=#FF0000]saltado eliminado directamente en su ubicación[/color]



Salidos,

[msc hotline sat]

Pues prueba el ELITEMPO para eliminar temporales, y con el ELIMOVER podrás llegar hasta los ocultos y renombrarlos, ademas de copiarlos a c:\muestras



ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp



saludos



ms, 30-11-2008

[msc hotline sat]

Recibidas muestras, las vamos intercalando entre otras para dar atencion a todos, hoy se controlaran algunas con el ELISTARA 17.53



Muchos han resultado ser variantes de TROJAN AGENT ABUE





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





posteanos tras probarlo el contenido de c:\infosat.txt



saludos



ms, 1-12-2008

[msc hotline sat]

y hoy con la version 17.54 del ELISTARA hemos terminado de controlar el resto de muestras enviadas.



Descarga dicha version y tras probarla, posteanos el c:\infisat.txt



Asi mismo indicanos si tras reiniciar persiste alguna anomalia, gracias



saludos



ms, 2-12-2008

[Mauro]

Saludos,ya aplicado el Elistara envio los resultados, no pude antes porque un programa habia bloqueado el internet explorer pero ya lo solucioné, envio tambien muestras adicionales y creo que ya esto esta solucionado muchissimas gracias, si de alguna manera puedo ayudarles con mucho gusto estoy a la orden, Gracias.



Tue Dec 02 05:13:22 2008

EliStartPage v17.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5655

Nº Total de Ficheros: 110355

Nº de Ficheros Analizados: 15751

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Dec 02 08:05:20 2008

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1126.EXE " -> Copiado a "C:\Muestras"

Fichero: "C:\RECYCLER\S-1-5-21-583907252-117609710-725345543-1003\Dc1126.EXE " -> Renombrado a .VIR

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\A0142880.EXE " -> Copiado a "C:\Muestras"

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\A0142880.EXE " -> Renombrado a .VIR

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\A0142883.exe " -> Copiado a "C:\Muestras"

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\A0142883.exe " -> Renombrado a .VIR

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\A0144115.sys " -> Copiado a "C:\Muestras"

Fichero: "C:\System Volume Information\_restore{A0D32727-CF98-476C-BD09-A9B10D575ADC}\RP250\A0144115.sys " -> Renombrado a .VIR

Envio tambian estas muestras.

Bueno creo que no podre enviarles las muestras porque ya las borre.

[msc hotline sat]

Decíamos [b][i]"y hoy con la version 17.54 del ELISTARA hemos terminado de controlar el resto de muestras enviadas."[/i][/b]



y el infosat nos muestra que el ultimo informe usa la 17.53 ...



De todas formas ya hay la 17.57 y SIEMPRE SE HA DE PROBAR LA ULTIMA VERSION DISPONIBLE !!!



Descargala y tras probarla, posteanos el infosat.txt resultante



saludos



ms, 9-12-2008

[Mauro]

Tengo un pequeño problema el entivirus norton, no me permite usar elistara ya que al descargarlo lo detecta como un virus y lo anula, ¿que hago?

[msc hotline sat]

Es un falso positivo conocido, desactivalo o bien arranca en modo seguro y si quieres descargarlo en modo seguro con funciones de red.



saludos



ms, 10-12-2009

[Mauro]

No entiendo que es un falso positivo, y que tengo que desactivar: sera el auto-protect del norton

[msc hotline sat]

Pues informate al respecto:



https://foros.zonavirus.com/viewtopic.php?f=5&t=26228



saludos



ms, 10-12-2008

[Mauro]

Bien aqui a va resultados del elistara 17.58, que es ese NDISIO.SYS que aparece como eliminado cada vez que el elistara se usa, por si acaso lo renombre a .vir a travez de elimover.



Mon Dec 08 23:14:45 2008

EliStartPage v17.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\NDISIO.SYS --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Dec 08 23:16:05 2008

EliStartPage v17.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\NDISIO.SYS --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Dec 09 23:05:14 2008

EliStartPage v17.53 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\NDISIO.SYS --> Eliminado



Tue Dec 09 23:36:06 2008

EliStartPage v17.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\drivers\NDISIO.SYS --> Eliminado, RootKit.Ndisio



Nº Total de Directorios: 5974

Nº Total de Ficheros: 118948

Nº de Ficheros Analizados: 17533

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Dec 10 00:29:58 2008

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\drivers\NDISIO.SYS" -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\drivers\NDISIO.SYS" -> Renombrado a .VIR

[msc hotline sat]

Sí, el NDISIO es un RootKit de cuidado !



Dinos si, tras todo lo hecho, se ha solucionado el problema, sino, tras eliminarlo o moverlo, crea una carpeta en C:\windows\system32\drivers\ con el nombre NIDISIO.SYS para bloquear su creacion de nuevo...



y nos cuentas el resultado, gracias



saludos



ms, 10-12-2008





NOTA: Y envianos el que tienes en la carpeta C:\muestras para analizarlo y controlarlo por cadenas, ya que parece ser una variante de los que ya conoccemos:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



ms.

[msc hotline sat]

La muestra de NDISIO.SYS ya se controla con el actual ELISTARA



Descargalo, pruebalo y posteabnos el informe resultante:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



saludos



ms. 10-12-2008

[Mauro]

Lo siguiente no lo puedo hacer, ya que no me permite el acceso(denegado), ni renombrarlo manualmente a .vir, ni moverlo a una carpeta

Dinos si, tras todo lo hecho, se ha solucionado el problema, sino, tras eliminarlo o moverlo, crea una carpeta en C:\windows\system32\drivers\ con el nombre NIDISIO.SYS para bloquear su creacion de nuevo...



Despues de pasar el elistara 17,58, (el ultimo actualizado) varias veces el resultado es el mismo lo vuelve a eliminar cada vez y siempre esta presente en cada revisión como puede observar en el infosat.txt:

Wed Dec 10 13:22:08 2008

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\drivers\NDISIO.SYS" -> Copiado a "C:\Muestras"



Wed Dec 10 13:22:21 2008

EliMover v1.0 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\WINDOWS\system32\drivers\NDISIO.SYS" -> Copiado a "C:\Muestras"

Fichero: "C:\WINDOWS\system32\drivers\NDISIO.SYS" -> Renombrado a .VIR



Wed Dec 10 13:26:26 2008

EliStartPage v17.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\Drivers\NDISIO.SYS.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\DRIVERS\NDISIO.SYS --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Dec 10 13:26:59 2008

EliStartPage v17.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\drivers\NDISIO.SYS --> Eliminado, RootKit.Ndisio



Nº Total de Directorios: 6036

Nº Total de Ficheros: 119336

Nº de Ficheros Analizados: 17787

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Saludos,