IMPOSIBLE DE ELIMINAR?

[emjr]

HOLA.



MI NOMBRE ES ESTEBAN Y LES CUENTO MI PROBLEMA:



TENGO UN VIRUS EN MI PC, PERO NO LOGRO IDENTIFICAR AUN CUAL ES PARA PODER ELIMINARLO, LOS SINTOMAS DE MI PC SON:



- LOS RESULTADOS DE GOOGLE ME REDIRECCIONAN A OTRAS WEBS.

- NO PUEDO ABRIR PAGINAS WEBS DE ANTIVIRUS.

- NO PUEDO ACTUALIZAR MI ANTIVIRUS (AVG 8.0)

- MI PEN DRIVE TAMBIÉN ESTÁ INFECTADO, YA QUE LO INTRODUJE EN LA PC DE MI OFICINA Y ALLÍ ESTOY CON LOS MISMOS INCONVENIENTES.



QUE HE HECHO HASTA EL MOMENTO?

- SCANEÉ MI PC CON AVG, AUN EN MODO A PRUEBA DE FALLOS, Y NADA HA ENCONTRADO.

- EJECUTÉ ELISTARA, ELIPEN, USB 445, FLASHDISINFECTOR. EN TODOS LOS CASOS HAN FUNCIONADO CORRECTAMENTE, NO OBSTANTE SIGO CON LOS MISMOS SINTOMAS EN MI PC.

- TAMBIEN EJECUTÉ UNA HERRAMIENTA DE ELIMINACION DE SOFTWARE MALINTENCIONADO DE WINDOWS, QUE DETECTÓ UN ARCHIVO INFECTADO, AUN ASI DESPUES DE REINICIAR, SIGO CON EL INCONVENIENTE.



LEÍ QUE PROBABLEMENTE TENGO UN PROBLEMA CON UN TAL CONFICKER, PERO NO HE PODIDO ELIMINARLO POR SUPUESTO.



AGUARDO SUS IDEAS.

SALUDOS, ESTEBAN.

[lucl]

Peganos el log de infosat que tendras en C para ver que hicieron nuestras herramientas hasta el momento. Ademas echa un vistazo a este link





http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto.asp





Y vacuna tu pendrive con elipen







http://www.zonavirus.com/descargas/elipen.asp



una vez vacunado nos pegas el infosat para que lo veamos completo saludos

[msc hotline sat]

Muy oportuna lucl con tus indicaciones...



Y si bien con ello controlamos las variantes conocidas..., nos consta que hay de nuevas (cada día autodescarga actualizaciones) , por lo que añado dos cosas:



SI TIENE ACCESO A UN PUNTO DE RESTAURACION ANTERIOR AL PROBLEMA; APLIQUELO:



SI NO LO ELIMINA CON TODO LO INDICADO, ACTUALICE COPIA DE SEGURIDAD DE SUS DATOS!



saludos



ms, 2-2-2009

[emjr]

ENVIO ENTONCES EL RESULTADO DE MIS EJECUCIONES.



EL PENDRIVE YA FUE VACUNADO Y PARECIERA SER EXITOSAMENTE. NO OBSTANTE NO LO PROBARÉ EN OTRA PC MOMENTANEAMENTE HASTA VER SI EN MI PC PUEDO PROBARLO SIN INFECTAR.



HASTA ESPERAR LA RPTA CONSULTO: SI EN ESTE MOMENTO INSERTO UN PENDRIVE NUEVO, ÉSTE SE VERIA INFECTADO EN EL MOMENTO?



AGUARDO PRONTA RPTA.

SALUDOS, ESTEBAN

[julibaga]

Por favor, envíe las muestras indicadas:

C:\WinLogon\CRYPTS.DLL

C:\Muestras\CSRCS.EXE.Muestra EliStartPage v17.73



Para ello recordar:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Una vez analizados se informará al respecto.

Mientras tanto, añádale la extensión .vir a C:\WinLogon\CRYPTS.DLL de manera que quede como CRYPTS.DLL.VIR y no se ejecute al iniciar el equipo.



A parte, actualice el windows al SP3 y parches posteriores, sobre todo los parches MS08-067 y MS08-078

[msc hotline sat]

Copio y poego el infosat que ha anexado, para tenerlo a la vista:





Sun Jan 04 18:27:09 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\CRYPT]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\CRYPTS.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\CSRCS.EXE.Muestra EliStartPage v17.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\CSRCS.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\OSSMTP.DLL --> Eliminado Motor.OSSMTP(smtp)

Eliminada Class, "{0A1C811C-88FF-493B-98A9-83B4A649ACD9}" -> C:\WINDOWS\system32\ossmtp.dll

Eliminada Class, "{BB81FA79-DCD7-48A6-A710-A85BD5ED9640}" -> C:\WINDOWS\system32\ossmtp.dll

Eliminada Class, "{C2A3FF36-C3A5-4334-968C-1DEA85AAA772}" -> C:\WINDOWS\system32\ossmtp.dll

Linea Eliminada del HOSTS --> 127.0.0.1 mpa.one.microsoft.com

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jan 04 18:28:19 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\ZAQIFN.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10507.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10574.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10575.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10576.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10577.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10579.EXE --> Eliminado, Autoit.FQ

C:\temp\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)

C:\WINDOWS\LSASS.EXE --> Eliminado, Autoit.FQ



Nº Total de Directorios: 5675

Nº Total de Ficheros: 64548

Nº de Ficheros Analizados: 20716

Nº de Ficheros Infectados: 9

Nº de Ficheros Limpiados: 9



Sun Jan 04 18:45:01 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5675

Nº Total de Ficheros: 64541

Nº de Ficheros Analizados: 20708

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 01 13:31:47 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad E:\ Protegida



Unidad F:\ Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Unidad C:\ YA esta Protegida



Unidad E:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Sun Feb 01 16:15:26 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado G:\Autorun.inf

OPEN=WIQITZ.EXE

G:\Autorun.inf -> Renombrado a .OLD

Unidad G:\ Protegida



Sun Feb 01 19:10:51 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Podría infectarse, pues vemos que hay sospechosos de los que pedimos muestras para controlar:



Por favor, envienos el INFOSAT.TXT y una muestra del fichero



C:\WinLogon\[b][i]CRYPTS.DLL[/i][/b]



Por favor, envienos una muestra del fichero

C:\Muestras\[b][i]CSRCS.EXE.Muestra EliStartPage v17.73[/i][/b]



y estos últimosque tienes en el pendrive:



[b][i]

G:\Autorun.inf.old

G:\WIQITZ.EXE:[/i][/b]





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 3-2-2009









NOTA: Evidentemente, se incluyen los pedidos por julibaga y se añaden los que tienes en el pendrive, aparte de recordar que tiene que instalar los parches pendientes !!! ms.

[emjr]

ok.



YA ENVIÉ MUESTRAS DE LOS FICHEROS SOLICITADOS, PERO NO ENCONTRÉ EN MI PENDRIVE EL ARCHIVO WIQITZ.EXE POR TAL MOTIVO NO LO INCLUÍ.



NECESITO QUE ME DIGAN QUE POSIBILIDAD TENGO DE USAR MI PENDRIVE EN OTRA PC SIN QUE EXISTA RIESGO DE INFECTARLA, Y SI PUEDO USER UN PENDRIVE NUEVO EN MI PC SIN QUE EXISTA RIESGO DE INFECTARLO.



POR OTRO LADO ME ES IMPOSIBLE INSTALAR LAS ACTUALIZACIONES DE WINDOWS YA QUE AL QUERER DESCARGAR LA APLICACION DESDE MICROSOFT EL VIRUS ME BLOQUEA LA PAGINA Y NO PERMITE QUE ACCEDA A LA DESCARGA.



AGUARDO NOVEDADES.



SALUDOS, ESTEBAN.

[msc hotline sat]

Pues en este pendrive estaba:


[quote]Sun Feb 01 16:15:26 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado G:\Autorun.inf

OPEN=WIQITZ.EXE[/quote]

seguramente oculto, claro, mira esto:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



en cualquier caso, analizaremos lo que nos hayas envuiado e informaremos



saludos



ms, 5-2-2009

[msc hotline sat]

Recibidas las muestras para analizar, hemos implementado su control y eliminacion en la version de hoy del ELISTARA 17.95 QUE YA HEMOS SUBIDO A ESTA WEB PARA EVALUACION






[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





SALUDOS



MS, 5-2-2009

[emjr]

AL INTENTAR DESCARGAR LA APLICACION, EXPLORER ME MUESTRA LA FAMOSA PAGINA: The page cannot be found ETC.ETC. ETC.



FAVOR, INDICARME COMO PUEDO DESCARGAR.



AGUARDO NOVEDADES.

[julibaga]

El link anterior está correcto.

Pincha en este a ver si te funciona, pero te aseguro que es el mismo

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[emjr]

YA EJECUTADA LA APLICACION ELISTARA 17.95 ENVÍO INFOSAT.TXT



AGUARDO NOVEDADES

[julibaga]

Pego aquí el resultado para que esté a la vista.





Sun Jan 04 18:27:09 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\CRYPT]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\CRYPTS.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\CSRCS.EXE.Muestra EliStartPage v17.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\CSRCS.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\OSSMTP.DLL --> Eliminado Motor.OSSMTP(smtp)

Eliminada Class, "{0A1C811C-88FF-493B-98A9-83B4A649ACD9}" -> C:\WINDOWS\system32\ossmtp.dll

Eliminada Class, "{BB81FA79-DCD7-48A6-A710-A85BD5ED9640}" -> C:\WINDOWS\system32\ossmtp.dll

Eliminada Class, "{C2A3FF36-C3A5-4334-968C-1DEA85AAA772}" -> C:\WINDOWS\system32\ossmtp.dll

Linea Eliminada del HOSTS --> 127.0.0.1 mpa.one.microsoft.com

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jan 04 18:28:19 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\ZAQIFN.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10507.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10574.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10575.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10576.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10577.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10579.EXE --> Eliminado, Autoit.FQ

C:\temp\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)

C:\WINDOWS\LSASS.EXE --> Eliminado, Autoit.FQ



Nº Total de Directorios: 5675

Nº Total de Ficheros: 64548

Nº de Ficheros Analizados: 20716

Nº de Ficheros Infectados: 9

Nº de Ficheros Limpiados: 9



Sun Jan 04 18:45:01 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5675

Nº Total de Ficheros: 64541

Nº de Ficheros Analizados: 20708

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 01 13:31:47 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad E:\ Protegida



Unidad F:\ Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Unidad C:\ YA esta Protegida



Unidad E:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Sun Feb 01 16:15:26 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado G:\Autorun.inf

OPEN=WIQITZ.EXE

G:\Autorun.inf -> Renombrado a .OLD

Unidad G:\ Protegida



Sun Feb 01 19:10:51 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Thu Feb 05 21:19:05 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 mpa.one.microsoft.com

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Thu Feb 05 21:19:55 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\CSRCS.EXE.MUESTRA ELISTARTPAGE V17.73 --> Eliminado, Autoit.FQ

C:\WINDOWS\system32\CRYPTS.DLL --> Eliminado, DownLoader.Crypts

C:\WinLogon\CRYPTS.DLL --> Eliminado, DownLoader.Crypts



Nº Total de Directorios: 5715

Nº Total de Ficheros: 64778

Nº de Ficheros Analizados: 20837

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Thu Feb 05 21:34:10 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 1004

Nº Total de Ficheros: 13636

Nº de Ficheros Analizados: 394

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Feb 05 21:34:38 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"

F:\Mis eBooks\MULTIPLE-IE-SETUP.EXE --> Eliminado, BitDownload(dr)

F:\Mis eBooks\SNOW_BROTHERS.EXE --> Eliminado, ErrorSafe(inst)



Nº Total de Directorios: 128

Nº Total de Ficheros: 112078

Nº de Ficheros Analizados: 190

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Thu Feb 05 21:35:59 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 4

Nº Total de Ficheros: 10

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[julibaga]

Parece que te hizo buena limpieza. Comenta si, después de reiniciar, continúa el problema y aparte envía estas muestras para que las puedan analizar:


[quote="julibaga"]Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\CRYPTS.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\CSRCS.EXE.Muestra EliStartPage v17.73

a "virus@satinfo.es". Gracias.[/quote]

Para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

[emjr]

DESPUES DE REINICIAR LA PC, YA NO ENCUENTRO LOS ARCHIVOS:

C:\WinLogon\CRYPTS.DLL

C:\Muestras\CSRCS.EXE.Muestra EliStartPage v17.73



Y PARECIERA QUE NO REDIRECCIONA LAS WEBS DE LOS RESULTADOS DE GOOGLE (HE PROBADO APROX 20 LINKS Y NO HA HABIDO PROBLEMAS).



SIN EMBARGO MI ANTIVIRUS AVG 8.0 SIGUE SIN PODER ACTUALIZARSE, ASI COMO TAMPOCO PUEDO ABRIR PAGINAS WEBS DE ANTIVIRUS:



www.avg.com

www.eset-la.com

www.kaspersky.com

www.forospyware.com



SOLO POR CITAR ALGUNOS...



AGUARDO NOVEDADES.

[julibaga]

Mira lo que dice este artículo

http://www.satinfo.es/web/2009/usb445.html



así que prueba el [url=http://www.zonavirus.com/datos/descargas/281/usb445.asp]USB45[/url]

pero tienes actualizar el windows con el SP3 y parches posteriores, sobre todo los parches MS08-067 y MS08-078

[emjr]

TE RECUERDO QUE YA HE UTILIZADO ESTA APLICACION, Y FUNCIONÓ CORRECTAMENTE.



EN CUANTO A LA ACTUALIZACION DE WINDOWS A SP3, EL VIRUS NO ME PERMITE ABRIR LA VENTANA DE DESCARGA DE ESTA ACTUALIZACION Y DE NINGUNA OTRA QUE DESEE DESCARGAR DE MICROSOFT.



FAVOR INFORMAME SI DEBO EJECUTAR NUEVAMENTE EL USB445.

[julibaga]

Prueba el Elibagla a ver si no tienes un Bagle...

http://www.zonavirus.com/descargas/elibagla.asp



y no te olvides de postear otra vez el C:\infosat.txt



Luego mira si puedes bajar el SP3 desde aquí:

[url=http://www.microsoft.com/downloads/thankyou.aspx?familyId=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displayLang=es]SP3 para Windows XP[/url]

[msc hotline sat]

La imposibilidad de descargar actualizaciones puede ser provicada por el conficker..., que puede impedir acceso al windowsuodate y a las casas antivirus)



Mira lo que acabo de escribir en otro Tema:


[quote]Si no tienes los parches actualizados, especialmente el MS08-067 , está muy de moda el conficker ...



Prueba el ELITRIIP y posteanos el informe resultante:




[quote="para DESCARGAR el ELITRIIP, msc"]



http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver



el resultado del proceso [/quote]

saludos



ms, 6-2-2009









NOTA: y ve mirando esta noticia: http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto-.asp ms.[/quote]

[emjr]

Ya he ejecutado la aplicación ELITRIIP y ELIBAGLA.



Envio infosat y aguardo novedades.

[julibaga]

Pego tu log auí para que esté a la vista.





Sun Jan 04 18:27:09 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\CRYPT]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\CRYPTS.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\CSRCS.EXE.Muestra EliStartPage v17.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\CSRCS.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\OSSMTP.DLL --> Eliminado Motor.OSSMTP(smtp)

Eliminada Class, "{0A1C811C-88FF-493B-98A9-83B4A649ACD9}" -> C:\WINDOWS\system32\ossmtp.dll

Eliminada Class, "{BB81FA79-DCD7-48A6-A710-A85BD5ED9640}" -> C:\WINDOWS\system32\ossmtp.dll

Eliminada Class, "{C2A3FF36-C3A5-4334-968C-1DEA85AAA772}" -> C:\WINDOWS\system32\ossmtp.dll

Linea Eliminada del HOSTS --> 127.0.0.1 mpa.one.microsoft.com

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jan 04 18:28:19 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\ZAQIFN.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10507.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10574.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10575.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10576.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10577.EXE --> Eliminado, Autoit.FQ

C:\RECYCLER\S-1-5-21-583907252-261903793-725345543-500\DC10579.EXE --> Eliminado, Autoit.FQ

C:\temp\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)

C:\WINDOWS\LSASS.EXE --> Eliminado, Autoit.FQ



Nº Total de Directorios: 5675

Nº Total de Ficheros: 64548

Nº de Ficheros Analizados: 20716

Nº de Ficheros Infectados: 9

Nº de Ficheros Limpiados: 9



Sun Jan 04 18:45:01 2009

EliStartPage v17.73 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5675

Nº Total de Ficheros: 64541

Nº de Ficheros Analizados: 20708

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 01 13:31:47 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad E:\ Protegida



Unidad F:\ Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Unidad C:\ YA esta Protegida



Unidad E:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Sun Feb 01 16:15:26 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado G:\Autorun.inf

OPEN=WIQITZ.EXE

G:\Autorun.inf -> Renombrado a .OLD

Unidad G:\ Protegida



Sun Feb 01 19:10:51 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Thu Feb 05 21:19:05 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 mpa.one.microsoft.com

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Thu Feb 05 21:19:55 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\CSRCS.EXE.MUESTRA ELISTARTPAGE V17.73 --> Eliminado, Autoit.FQ

C:\WINDOWS\system32\CRYPTS.DLL --> Eliminado, DownLoader.Crypts

C:\WinLogon\CRYPTS.DLL --> Eliminado, DownLoader.Crypts



Nº Total de Directorios: 5715

Nº Total de Ficheros: 64778

Nº de Ficheros Analizados: 20837

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Thu Feb 05 21:34:10 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 1004

Nº Total de Ficheros: 13636

Nº de Ficheros Analizados: 394

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Feb 05 21:34:38 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"

F:\Mis eBooks\MULTIPLE-IE-SETUP.EXE --> Eliminado, BitDownload(dr)

F:\Mis eBooks\SNOW_BROTHERS.EXE --> Eliminado, ErrorSafe(inst)



Nº Total de Directorios: 128

Nº Total de Ficheros: 112078

Nº de Ficheros Analizados: 190

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Thu Feb 05 21:35:59 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 4

Nº Total de Ficheros: 10

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Feb 05 22:56:27 2009

EliBagle v12.19 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Feb 05 22:56:38 2009

EliBagle v12.19 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5717

Nº Total de Ficheros: 64850

Nº de Ficheros Analizados: 15085

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Feb 05 23:04:24 2009

EliBagle v12.19 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 1004

Nº Total de Ficheros: 13636

Nº de Ficheros Analizados: 64

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Feb 05 23:04:43 2009

EliBagle v12.19 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 128

Nº Total de Ficheros: 112076

Nº de Ficheros Analizados: 123

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Feb 06 22:24:05 2009

EliTriIP v5.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe"

Linea Eliminada del HOSTS --> 127.0.0.1 mpa.one.microsoft.com

No detectado SP3 de Windows XP



Fri Feb 06 22:24:17 2009

EliTriIP v5.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5716

Nº Total de Ficheros: 64937

Nº de Ficheros Analizados: 19392

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Feb 06 22:47:56 2009

EliTriIP v5.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 644

Nº Total de Ficheros: 7916

Nº de Ficheros Analizados: 1516

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Fri Feb 06 22:48:04 2009

EliTriIP v5.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 1004

Nº Total de Ficheros: 13636

Nº de Ficheros Analizados: 204

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Feb 06 22:49:02 2009

EliTriIP v5.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"

F:\Mis eBooks\Instalacion merco.exe --> Eliminado, KillAV.FX(dr)



Nº Total de Directorios: 128

Nº Total de Ficheros: 112076

Nº de Ficheros Analizados: 168

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues a la vista del informe:



Envianos estos ficheros que se te piden para analizar:


[quote]Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\CRYPTS.DLL



Por favor, envienos una muestra del fichero

C:\Muestras\CSRCS.EXE.Muestra EliStartPage v17.73[/quote]



Luego persiste la falta de parches:



[b][i]No detectado SP3 de Windows XP[/i][/b]



procede en consecuencia



y envianos los los ficheros que, aunque ya no se autopropague gracias al ELIPEN, persiste el virus en este pendrive, y aun no lo conocemos asi que envianos ambos ficheros, el AUTORUN y el WIQITZ.EXE , ambos de G: (y posiblemente ocultos, claro):



Sun Feb 01 16:15:26 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado G:\Autorun.inf

OPEN=WIQITZ.EXE

G:\Autorun.inf -> Renombrado a .OLD





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 7-2-2009

[emjr]

Creo que llegamos a un callejón sin salida... jeje



Como veo en el historial de este posteo, he cumplido obedientemente con todos los pasos solicitados, sin embargo después de ver tu solicitud noto que ya he enviado estos archivos anteriormente:



C:\WinLogon\CRYPTS.DLL

C:\Muestras\CSRCS.EXE.Muestra EliStartPage v17.73

WIQITZ.EXE



Y ya no los tengo en mi pc, aún después de configurarla para ver todos los archivos ocultos.



Por otro lado, sí hemos solucionado lo de el redireccionamiento de los links en google.

Pero aún sigo sin poder actualizar mi antinvirus AVG 8.0 y tampoco puedo entrar a webs de antivirus.

Tampoco puedo actualizar windows ni descargar los parches que me solicitan.



Envío nuevamente el AUTORUN de mi pendrive, ya que el resto de los pasos los he cumplido como habrñan visto.



Aguardo novedades y comentarios.

[julibaga]

Actualizar el windows con el SP3 y parches posteriores, sobre todo los parches MS08-067 y MS08-078

Del siguiente link pudes bajar directamente el SP3. Ojalá y te lo permita.



[url=http://www.microsoft.com/downloads/thankyou.aspx?familyId=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displayLang=es]SP3 para Windows XP[/url]

[emjr]

No logro descargar la actualización sp3 de windows ni tampoco los parches:



envío imágenes del momento de la verdad:

[msc hotline sat]

Puede que sea popr los malwares que aun tienes.



Ademas de los que ya has enviado, que analizaremos el lunes, envianos estos otros que vemos en el contenido del aitorun que has posteado:



wiqitz.exe

y el propio AUTORUN.*



evidentemente pueden estar ocultos y demas... pero estarán en el pendrive en donde viste dicho AUTORUN



saludos



ms, 7-2-2009

[emjr]

El único archivo que encuentro en mi pendrive además del autorun es el que estoy enviando ahora:

[msc hotline sat]

No, esto es la proteccion del ELIPEN, debes tener uno AUTORUN.INF.OLD que es el que tenias cuando lo protegiste con el ELIPEN, pero este ya está en el anexado del post en el que lo hemos visto, lo que pasa es que debes enviarlo junto con la muestra indicada (que se lanza en dicho AUTORUN) para que los de procesos reciban los dos juntos y puedan controlarlos (sino se haría el trabajo a medias)



saludos



ms, 7-2-2009









NOTA: es el que contiene:


[quote]jsqtvzQQQBptDhICdjvYkIBabRxKY

;XqvJzBZpCUScmBILlRoEwaGhuL

;WrCELYMQWfYRVwnHlXdZFxzMRnytBUyZd

;VBzAqoUTlTKYzPjedZDZGLtKCzsCbGBmZlvusxiAcAMlkPSxJHfJfGpAfwLPjnWgBIEVwSXQQrNQ

;hftZYzGUEWDFykOrEqpogtcwsrDLqesnpaDzYeORCgzjcHHxPluQghznjVzbpHYW

;DuocMWdocHwTdujzggfkkwzLhsgaEvOf

;fMuuyxVlFocyBYCIhPKlgYMzQEfUubCZnBifnOhCgwFTazIHQYryfderUtZ

[AutoRun]

;45F27A231FB7BAE1D818005E0842BEA78F830E9EB727D2C7BFC81571

open=wiqitz.exe

Icon=%system%\shell32.dll,7

;vtEDdLeVOJvEbtpWUUUtpNSjHVtSfNbPZzJoiLVCGsuuMLHIlmVxsuADMICcC

;zITqcRGXcoQiYwRifmFKyoCmjebVeyjFBlHHJNYPehScOwVncaqdVlk

;FJ

UseAutoPlay=1

;ZBBULIBSLpcUNyZgDPnkTKQzi

;aqKPQmmTFlqrlnVJSLoyHMyeJUaOLkKYYispwByndwQJOFaGSXCMgMknRjBcHuxYHDGFRV

;oStbwfyGKKvlpgQhlPpvXCIDK

;OmeSwNhbucufQTHanABOiYklRsyccIKJNuWAIUalNkNeRrbVAjHHyHrxsyHKxgNyC

action=Open Drive

;jBaSMCWbUNLddzdcXFLzUjBOidjZaYfwmfhtoUHQLvmEebvdjKpkq

;wdYVGdsrSYrMIgTIRRPaDDfqiUUjIXlHrxOyNuZAtHwxwgNoFmsrIILMiYQgKBXyVws

;HZpetJvzsFCRPHfvRmBaq

;esCcYCrNPGIRnBYsJsnWTLwEHVCgwDdxMTMWzROQZVTq

;aaFGLBVdgyozCKnCLKfnEYKKivbYbPnetpFGLFTTIgKmUHKZUDpjqBxqBBSFXiaVfSQWrZhqwsS

action= @wiqitz.exe

shell\open\Command=wiqitz.exe

;YlzKJMszlqOQJZFFrkFX

;wwOZJqgwQAquIBYz

;JFxXrRppdGEAfNZNcjKIbqEvRocyEKUVMM

;SVwcfBMFUMsKLlOHeQAcFWdzpgOMryMfCmBdltcLjslHeBnbHSSyvZRLZcfRpBfjPMnaeyXT

shell\open\Default=1

shell\explore\Command=wiqitz.exe

;PSZtxoSURiVIMLjTGV[/quote]

en el que vemos estas lineas significativas:



[AutoRun]

open=wiqitz.exe

Icon=%system%\shell32.dll,7

UseAutoPlay=1

action=Open Drive

action= @wiqitz.exe

shell\open\Command=wiqitz.exe

shell\open\Default=1

shell\explore\Command=wiqitz.exe





por esto ademas te pedimos el wiqitz.exe



y buscando referencias de dicho fichero, las encuentro en este mismo Tema, varias veces... https://foros.zonavirus.com/search.php?keywords=wiqitz.exe&terms=all&author=&sc=1&sf=all&sk=t&sd=d&sr=posts&st=0&ch=300&t=0&submit=Buscar



Pues recuerda : https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y si es de los que nos has enviado en el ultimo envio de muestras, lo analizaremos el lunes, en cuanto entremos a trabajar en SATINFO, de lo cual informaremos.



ms.

[emjr]

He realizado las siguientes acciones:



Retiré el pendrive de mi pc y ejecuté las siguientes aplicaciones en este orden y luego reinicié mi pc:

elibagla

elipen

elistara

elitriip

usb445



Por tal motivo envío nuevamente Infosat.txt:



Sun Feb 08 21:27:43 2009

EliBagle v12.19 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



Sun Feb 08 21:27:44 2009

EliBagle v12.19 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5716

Nº Total de Ficheros: 64893

Nº de Ficheros Analizados: 15086

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 08 21:35:31 2009

EliBagle v12.19 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 1004

Nº Total de Ficheros: 13636

Nº de Ficheros Analizados: 64

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 08 21:35:52 2009

EliBagle v12.19 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 128

Nº Total de Ficheros: 112075

Nº de Ficheros Analizados: 122

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 08 21:37:23 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Unidad E:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Sun Feb 08 21:37:52 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 mpa.one.microsoft.com

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Sun Feb 08 21:38:09 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5714

Nº Total de Ficheros: 64801

Nº de Ficheros Analizados: 20835

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 08 21:42:59 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 1004

Nº Total de Ficheros: 13636

Nº de Ficheros Analizados: 394

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 08 21:43:12 2009

EliStartPage v17.95 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 128

Nº Total de Ficheros: 112075

Nº de Ficheros Analizados: 187

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 08 21:44:04 2009

EliTriIP v5.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 mpa.one.microsoft.com

No detectado SP3 de Windows XP



Sun Feb 08 21:44:07 2009

EliTriIP v5.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5714

Nº Total de Ficheros: 64801

Nº de Ficheros Analizados: 19378

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 08 21:47:58 2009

EliTriIP v5.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 1004

Nº Total de Ficheros: 13636

Nº de Ficheros Analizados: 204

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Feb 08 21:48:05 2009

EliTriIP v5.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 128

Nº Total de Ficheros: 112075

Nº de Ficheros Analizados: 167

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



-----------------------------



Ahora:

Si en ningún momento he colocado mi pendrive, no debería ya tener malware en mi pc, sin embargo, aún después de haber ejecutado estas aplicaciones, continúo con los inconvenientes sin poder actualizar a sp3 ni los parches solicitados.



Esto significa que el malware está en mi pc sin importar que mi pendrive esté o no conectado.



Si fuera así, que debo hacer?



Aguardo novedades.

[msc hotline sat]

Sí, parece que algo tienes que te reproduce esta entrada:



Linea Eliminada del HOSTS --> 127.0.0.1 mpa.one.microsoft.com





que vemos repetida en los informes...



ello te impide ir a este site de microsoft, y tras eliminarlo, vuelve a ingresar ???



Voy a mirar si algun malware conocido lo hace:



Pues parece que tiene relacion con la legalidad del windows:



http://support.microsoft.com/kb/908440/pt



Tienes legal, validado y registrado dicho producto ???



saludos



ms, 9-2-2009