VIRUS CREA EJECUTABLES CON LOS NOMBRES DE CARPETAS (CERRADO)

[davidplocosh]

VENGO A MOLESTAR NUEVAMENTE... EL CASO QUE TENGO ES EL SIGUIENTE.... UN VIRUS QUE CREA EJECUTABLES CON EL NOMBRE DE LAS CARPETAS DE MI SISTEMA OPERATIVO... AL EJECUTARLAS ME MANDA A LA CARPETA CORRESPONDIENTE... PERO CREO QUE NO ES NORMAL.... INFECTA LAS MEMOS USB.... YA PROBE DESINFECTAR LAS MEMOS EN OTRA PC... Y SI FUNCIONA PERO ELIMINA LOS EJECUTABLES Y LAS CARPETAS QUEDAN COMO OCULTOS.. Y NO SE PUEDEN DESHABILITAR ESTA OPCION... SE TIENE QUE PERMITIR VER LOS ARCHIVOS PROTEGIDOS DEL SISTEMA PARA PODER VER LAS CARPETAS...

ADEMAS EL VIRUS DESHABILITA LAS OPCIONES DE CARPETAS....



EL PROBLEMA MAYOR ES QUE SON UNAS PC`S QUE ESTAN EN [color=#FF0000]INTRANET... Y NO TIENEN ACCESO A INTERNET[/color]... TENGO INSTALADO EL AVG 8.0 POR LO PRACTICO CON LAS ACTUALIZACIONES PERO CREO Q NO FUNCIONA... ADEMAS QUE ES PROGRESIVO.. ENTRE MAS TIEMPO MAS SE PROPAGA DICHO VIRUS...



TODAS LAS UNIDADES ESTAN PROTEGIDAS CON EN ELIPEN.. YA LE PASE LA ULTIMA VERSION DEL ELISTARA (17.74.. CREO) Y NO ME DETECTA NADA.... SOLO ME DICE QUE MANDE UNA MUESTRA A virus@satinfo.es PERO EN LA CARPETA DE "MUESTRAS" NO CREA NADA... ASI QUE POR ESO NO PUEDO MANDAR LA MUESTRA DE ARCHIVO QUE ME DETECTO...



ESTE ES EL ARCHIVO INFOSAT.TXT QUE ME GENERA...

******************************************

Fri Nov 07 12:51:46 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



Unidad E:\ YA esta Protegida



Unidad G:\ YA esta Protegida



Mon Dec 08 12:20:00 2008

EliStartPage v17.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Dec 08 12:20:09 2008

EliStartPage v17.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4755

Nº Total de Ficheros: 30720

Nº de Ficheros Analizados: 10540

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Dec 08 12:24:49 2008

EliStartPage v17.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "H:\"



Nº Total de Directorios: 25

Nº Total de Ficheros: 308

Nº de Ficheros Analizados: 12

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jan 08 13:27:00 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AVGRSSTARTER]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\AVGRSSTX.DLL

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jan 08 13:27:11 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Thu Jan 08 13:32:09 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad D:\ YA esta Protegida



Unidad E:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad F:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad G:\ No se Pudo Proteger



Unidad H:\ YA esta Protegida



Nº Total de Directorios: 4782

Nº Total de Ficheros: 30936

Nº de Ficheros Analizados: 10625

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jan 08 15:43:56 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4782

Nº Total de Ficheros: 30842

Nº de Ficheros Analizados: 10628

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jan 09 13:38:48 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AVGRSSTARTER]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\AVGRSSTX.DLL

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jan 09 13:39:03 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4781

Nº Total de Ficheros: 30877

Nº de Ficheros Analizados: 10630

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Jan 09 14:23:27 2009

EliStartPage v17.74 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AVGRSSTARTER]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\AVGRSSTX.DLL

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

******************************************************************************

LES AGRADECERE COMO SIEMPRE LA GRAN AYUDA,....

[julibaga]

Prueba también a pasarle el Elitriip.

A mí me pasó no hace mucho con un cliente y, la verdad, no me acuerdo con cuál lo quité, pero lo quité.



Mira si encuentras el archivo

C:\WinLogon\AVGRSSTX.DLL

lo comprimes en zip con password "virus" y lo envías.



Espero te sirva.

salu2

[davidplocosh]

ACABO DE ENVIAR LA MUESTRA DE ESE FICHERO... ESPERO SU RESPUESTA... Y AHORITA BUSCO EL ELITRIIP... PARA PROBARLO...

[julibaga]

Cuando reciban la muestra recibirás noticias de msc al respecto.

A ver cómo te va con el resto.

[msc hotline sat]

Eso es, no estaba en C:\muestras sino en C:\winlogon como decia el informe:



[b][i]Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\AVGRSSTX.DLL[/i][/b]



y aparte vemos que le faltan parches. Lance un windowsupdate e instale el SP3 y posteriores criticos como el MS08-067 y MS08-078



Y mientras llega el lunes, que volveremos al trabajo en SATINFO y recibiremos en fichero en cuestion para analizar, sube el fichero AVGRSSTX.DLL al virustotal ( https://www.virustotal.com/es/ ) y posteanos el informe resultante



saludos



ms, 10-1-2009

[msc hotline sat]

Pues no, el preanalisis de la muestra no ha detectado nada en el fichero sospechoso:



File Name : AVGRSSTX.DLL

File Size : 10520 byte

File Type : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi

MD5 : 0ac7886f80734680e3463780cedea4a4

SHA1 : 7cd910e6b01d947afb37c065116f29a1c4025982



Pensamos que debe ser una variante del NUJAMA, que se copia en todas partes con el nombre de la carpeta y tiene icono de carpeta, para despistar y hacer que se clique en él...



Pues envianos algun fichero de estos con icono de carpeta y lo analizaremos:



(Pero mira como lo haces, ya que esta vez ha sido ADMIN quien nos lo ha reenviado:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 12-1-2009

[davidplocosh]

hola... ya pude solucionar lo del virus.. creo.. ya tuve conexion a internet... e instale el kaspersky 2009... y me elimino los archivos infectadisimos.... me detecto un ejecutable llamanod "win2x.exe"... pero tengo un grandisimo problemon...



como el virus creaba ejecutables con los nombres de las carpetas... y el antivirus me los elimino.. ya no tengo acceso a las carpetas... ya que estan ocultas... y esta deshabilitada la opcion en las propiedades de cada carpeta... y el otro problema que tengo es que esta deshabilitada la opcion de "opciones de carpetas" del menu herramientas... y no se si me pudiesen ayudar con eso.... de por si.. ya les agradezco por su tiempo...

[msc hotline sat]

Pues si puedes enviarnos alguno de estos ficheros, lo analizaremos e implementaremos la restauracion de claves que modifican y su eliminaicon, claro, poero si loa has eliminado antes ...



Solo el ELISTARA restaura claves que modifican malwares conocidos, como esta de las ver las Opciones de Carpeta, aunque ya no haya el virus, pruebalo pues antes al existir el virus y no controlarlo, las volvia a modificar, pero ahora, si ya no está, igual las restaura y asi se quedan, de forma que vuelvas a tener acceso a Opciones de Carpeta.



Y recuerda que si tienes algun fichero infectado con este virus en alguna parte, interesa que nos lo envies, para el bien de todos



saludos



ms, 13-1-2009

[davidplocosh]

ya estoy re seguro que no tengo virus... solo q me hizo estragos... me dejo bloqueado el restaurador de sistema, el regedit, el msconfig.... todo... busque,, y busque y pude encontre algunas soluciones... ya tengo habitado todo... solo me ha quedado el problemilla estetico de ver todas las carpetas con atributo oculto, junto a las del sistema.... al igual que todos los archivos que si son del sistema... es lo unico... y no se si lo que quieres es un archivo con los atributos de oculto... o que, no comprendo bien... disculpa mi ignorancia... ahh!!! y queria consultar algo... en una pc que estaba infectada le pude habilitar algunas opciones por medio del gpedit.msc ... ya aprendi cosas con esta aplicacion.. pero la consulta es que en otro pc que estaba infectada trate de ejecutar esta apllicacion y no la encontro.. la busque en todo el sistema operativo, y no la encontre.. no se si el virus me pudo eliminar esta aplicacion o que fue lo que paso... lo extraño que el sistema operativo en ambas maquinas es el mismo.. es licencia corporativa.... gracias porr la ayuda de antemano...

[msc hotline sat]

Pues pueden ser los daños colaterales que le ha ocasionado este malware, y que es una pena que no haya podido enviarnos muestra de algun fichero infectado, pues no solo habriamos implementado su eliminacion, sino la restauracion de las claves que modificara, lo cual por lo visto no hizo el antivirus utilizado, pero en fin, otra vez será...



Sin muestras no hay paraiso :wink: , y solo le queda ir cambiando los atributos que vea han sido cambiado y añadir los ficheros de sistema que hayan sido borrados, para lo cual puede lanzar una REPARACION DE SISTEMA:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

Cuentenos el resultado, gracias



saludos



ms, 18-1-2009

[ulfhernad]

busca esta aplicacion "INTERCEPTADO" este me sirvio basante luego de una infecion similar y sino en **INICIO*-*-*ejEcuar**-*-* escribe



ATTRIB -H -S " C:\WINDOWS "



SIEMPRE ENTRE COMILLAS Y LO MISMO CON LAS DEMAS CARPEAS QUE TE PARECAN OCULTAS

SINO ESCRIBEME A INTERCEPTADO https://foros.zonavirus.com/viewtopic.php?f=1&t=17044





SE INTERCEPTA EL POST

Saludos lucl

ref SV/AC+13.67-89.24

[msc hotline sat]

Gracias lucl.



A ver, "ulfhernad", en tu primer post has contravenido ya 2 Normas de este foro:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17382 (Este Tema es de Enero...)



y https://foros.zonavirus.com/viewtopic.php?f=1&t=17044 (Ni links externos ni indicar e-mails para responder en privado)



Se cierra este Tema y se te avisa que si cometes otra infracción, serás desactivado de este foro, sin mas avisos.



saludos



ms, 9-7-2009