problemas con olgros.bat (SOLUCIONADO)

[Nelson Chicaiza]

Mi notebook al iniciar presenta el siguiente diálogo que se despliega en comandos de windows:

"Se recomienda eliminar este archivo. Su sistema puede estar en peligro me encuentro en C:\windows\olgros.bat
Si no puede utilizar internet utilizar firefox
Si word no funciona utilice open office
Si msn no funciona utilice amsn ..."

Obviamente los programas de office no funcionan y el equipo se ha vuelto muy lento.

En todas las particiones del disco duro aparece una carpeta llamada system volume information, la cual no se deja borrar
de la misma manera aparece la carpeta sysrs.exe

Al analizar utilidad de configuración del sistema el sysrs.exe aparece el sysrs.exe como primer programa a ejecutarse, pero desaparece rapidamante y no se deja borrar.

Este problema no fue detectado por nod 32.

Gracias por su ayuda

[msc hotline sat]

La carpeta sel SYSTEM VOLUME INFORMATION puede ser la del RESTORE, y en este caso e normal, es donde se guardan los ficheros por si se requiere volver a un punto anterior. Pero ya veremos ...

Ahora nos centraremos en este que dices "olgros.bat" , editalo con el bloc de notas y con un copiar y pegar de su contenido, nos lo posteas en respuesta a este Tema, y veremos lo que hace.<br/>

Parece tener relación con un ficheros TENSIS.EXE, mira si lo tienes (con un Inicio Buscar) y si lo encuentras nos lo envías para analizar

y por si fuera un virus que se propaga por pendrive, como parece ser, vacuna tu ordenador y pendrives con el ELIPEN:<br/>

vacune todas sus unidades de disco y pendrive con el ELIPEN:
ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp


Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


saludos
ms, 27-10-2008

[Nelson Chicaiza]

Estimados amigos:

Gracias por sus indicaciones.

En primer lugar aclarar que el problema parece estar contenido en una carpeta llamada sysr.exe que aparece en todas las particiones del disco, si se lo intenta borrar, se vuelva a copiar e inmediatemente aparece.

Respecto a las solicitudes e instrucciones:

1. Ha sido dificil postear los mensajes que aparecen cuando se inicia el note book, tuve que usar imp pnt y posteriormente pegar lo fotografiado en paint, de allí lo transcribi y es tal como sigue:

C:\WINDOWS\system32\cmd.ex - C:\windows\olgros.bat (título que aparece en el progrma c:)

Se recomienda eliminar este archivo. Su sistema puede estar en peligro me encuentro en C:\windows\olgros.bat
Si no puede utilizar internet utilizar firefox
Si word no funciona utilice open office
Si msn no funciona utilice amsn ..."

Haciendo ping a chn-consultores [127.0.0.1] con 32 bytes de datos:

Respuesta desde 127.0.0.1: Bytes=32 tiempo<1m TTL=128
Respuesta desde 127.0.0.1: Bytes=32 tiempo<1m TTL=128
Respuesta desde 127.0.0.1: Bytes=32 tiempo<1m TTL=128
Respuesta desde 127.0.0.1: Bytes=32 tiempo<1m TTL=128

2. Despues de ejecutar el antivirus que recomendaron esta es la información que arrojó:

Tue Oct 28 00:30:22 2008
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad C:\ Protegida

Unidad D:\ Protegida

Detectado E:\Autorun.inf
OPEN= SYSRS.EXE
E:\Autorun.inf -> Renombrado a .OLD
Unidad E:\ Protegida

Detectado F:\Autorun.inf
F:\Autorun.inf -> Renombrado a .OLD
Error Creando TEST2.SAT
Unidad F:\ No se Pudo Proteger

Detectado I:\Autorun.inf
OPEN=SETUP.EXE
I:\Autorun.inf -> Renombrado a .OLD
Error Creando TEST2.SAT
Unidad I:\ No se Pudo Proteger

Unidad C:\ YA esta Protegida
Unidad C:\ YA esta Protegida
Unidad D:\ YA esta Protegida

Detectado F:\Autorun.inf
F:\Autorun.inf -> Renombrado a .OLD
Error Creando TEST2.SAT
Unidad F:\ No se Pudo Proteger


Bueno amigos, Espero sus nuevas indicaciones y de nuevo mil gracias por las respuestas

[msc hotline sat]

Pues envienos los ficheros que indica y los analizaremos



"C:\WINDOWS\system32\cmd.ex - C:\windows\olgros.bat"





y ademas estos que aparecen en el infosat.txt:



Detectado E:\Autorun.inf

OPEN= SYSRS.EXE

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida



envienos el AUTORUN (que ahora debe llamarse AUTORUN.OLD) y este SYSRS.EXE que deben estar en esta unidad E: (pendrive ???)



y envienos tambien por último este SETUP.EXE de I: y el AUTORUN que lo lanza:



Detectado I:\Autorun.inf

OPEN=SETUP.EXE

I:\Autorun.inf -> Renombrado a .OLD (es posible que no se pudiera rennombrar si luego dice que no se ha podido proteger ... ??? En cualquer caso, envienos tambien este AUTORIUN, con la extension que tenga.





Tras ello implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-10-2008







NOTA: Y las unidades F: e I: no se pudieron proteger... ¿Están protegidas contra grabación? Aclarenos qué medio son y si están prptegidas voluntariamente, gracias. ms.

[Nelson Chicaiza]

Gracias por sus indicaciones:



Antes de enviar los archivos solicitados por ustedes, debo hacer 2 aclaraciones,



1. En primer lugar, en el momento del análisis con elipen aparecieron muchas unidades, porque estaba conectada una memoria (mp4) y la unidad de cd en funcionamiento. De tal manera que las unidades eran las siguientes en el momento de analisis. (Anteriormente había vuelto a instalar el windows xp y office 2007, con la esperanza de eliminar el virus)



C, D y E, Particiones del disco duro, siendo E la unidad en la cual almaceno mis documentos y c donde se instalan los programas, en la d estan grabados algunos videos



F: Unidad cd rom, tenía en el momento del analisis el cd rom de la tarjeta intel que posee el note book, Me imagino que por esa razón la unidad no se pudo proteger.



G: Se trate de una unidad "virtual" que la monta el progrma alcohol, y se trata del programa office 2007 que estaba intentando reinstalar.



H: se trata de una memoria (mp4), per cuando se la instala al pc aparece el letrero "cmd.exe - No hay disco en la unidad

No hay disco en la unidad. Inserte un disco en la unidad \device\harddisk2\DR9."

Abajo aparecen las opciones cancelar, reintentar y continuar.



Sin embargo ignorando ese letrero (haciéndolo a un lado), se puede explorar los archivos de esta unidad sin dificultad

Creo que esa era la razón por la cual no se pudo proteger en su momento.



I: Es la ampliación de la memoria (externa, mini sd) que posee el dispositivo mp4 mencionado en el anterior párrafo.





2: Al volver a conectar la memoria (unidad I) ya no se encontró el archivo .OLD (ya está habilidata la opción para mostrar carpetas ocultas)que si apareció en la unidad E, por eso procedí a enviar los archivos de esta memoria (mp4, en otro archivo), aclarando que son los archivos del mp4.



además posteo el informe que arrojó Elipen, cuando volví a analizar dicha unidad.





Sun Nov 02 21:21:25 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad I:\ Protegida





Por lo anterior se enviarán dos archivos comprimidos, el primero sobre los ficheros que se encuentran en el notebook (unidades C,D y E) y lo que encotré en un dispositivo mp4 (unidad I)que en el momento del análisis estaba conectado



Gracias por su colaboración atte.



Nelson Chicaiza Muriel

[msc hotline sat]

Pues parece que te olvidas de enviarnos los AUTORUN, de E: y de I: , es importante que nos los envies, pues son los que lanzan los ficheros propiamente malwares, yt asiu los controlaremos

Y lo que dices sobre la unidad F: "F: Unidad cd rom, tenía en el momento del analisis el cd rom de la tarjeta intel que posee el note book, Me imagino que por esa razón la unidad no se pudo proteger" , cae por su propio peso, primero las unidades de CD/DVD son las unicas que los AUTORUN.INF tienen sentido y segundo, son unidades protegidas contra grabacion, razon por la cual no se puede crear la carpeta de protección.

Y tras la recepcion de las muestras, las analizaremos y obraremos en consecuencia, de lo cual informaremos.

saludos

ms, 3-11-2008

[Nelson Chicaiza]

Estimados amigos

he enviado los archivos comprimidos, pero la verdad he tenido muchas dificultades para enviarlos por los correos tradicionales (yahoo. gmail.etc). Tan solo me permitió enviar los archivos el hotmail. y a través de un correo empresarial. Allí están los archivos que me solicitan. Por favor confirme la recepción o no de los ficheros.

Tengan en cuenta que desactivé el antivirus (nod 32) y posteriormente inicie en modo a prueba de fallos, pero aún así me seguían apareciendo letreros que decían que los archivos. exe no podían ser enviados. Aclaro que en la opción "enviar muestras" dice que está fuera de servicio, por lo tanto se intentó enviar los archivos al correo que en el letrero aparece

Gracias por su colaboración

Nelson Chicaiza Muriel

[Nelson Chicaiza]

los auto run están al interior dos archivos . (junto con otros)



los encontrados en el pc se enviaron con el nombre de "virus en pc" y al abrir la carpeta comprimida se encuentra autorun.inf.old ( no se encontró autorun.inf)



Los encontrados en el mp4 se enviaron con el nombre de muestras en memoria externa, y a la abrir la carpeta comprimida se sencutra un archivo .sat, que no es otra cosa que el autorun pero encapsulado



Gracias

[msc hotline sat]

En definitiva lo que conviene ver es el script de dichos AUTORUN, a ver qué ficheros lanzan, pues son los propiamente malwares.



saludos



ms, 3-11-2008

[Nelson Chicaiza]

Estimados Amigos:



En primer lugar les comento que con la ayuda de un amigo se pudo controlar el virus, el cual ha sido creado (o modificado en mi ciudad). Los servicios de inteligencia informan que el creador es un amigo del software libre y por esa razón el virus inhabilita MS office. Como era de esperarse el nombre corresponde a las iniciales del creador o modificador del virus: Olger Rosero. Según el análisis que hacía mi amigo (ingeniero de sistemas). Este virus no es detectado hasta el momento por ningún antivirus porque "es creado en un archivo plano" (no se exactamente a que se refería con eso). Además se instala en system 32 y en otra carpeta que no es detectada por la opción buscar tradicional.



Encapsulamos toda la información relacionada con el virus y ya la remití en formatos winrar. Es necesario aclarar que la vez anterior no pude enviar las muestras por que su opción de envio estaba deshabilitada y fue dificil enviar las muestras por correo tradicional.



Espero sus comentarios



Atte





Nelson Chicaiza Muriel

[lucl]

Pues cuando lo analicen te diran algo al respecto, gracias por compartir los datos con nosotros estate atento al post el lunes saludos

[msc hotline sat]

Pues muchas gracias, Nelson, y es una suerte que tengas por amigo este tecnico de sistemas que ha sabido identificar y eliminar este nuevo virus que nos has enviado para analizar. El lunes, cuando entremos a trabajar de nuevo en SATINFO, lo analizaremos e informaremos.

Mientras, para avanzar, podrias subir este fichero al virustotal: http://www.virustotal.com , y asi ver si ya lo controla algun antivirus, aunque segun como se propague, si ha sido creado en tu ciudad por este Olger Rosero , puede que no haya tenido expansion por la red, ya veremos.

Y aparte de postearnos el informe de virustotal resultante, si quieres podrias probar la nueva utilidad ELIMD5.EXE con la que, indicandole el MD5 de este fichero, que saldrá en el informe del VirusTotal, ya poder examinar cualquier ordenador en busca de dicho fichero malware, y lo mismo quienes piensen que pueden estar afectados, por los sintomas de que inhabilita el MS Office, y poder ya inmediatamente, localizar dicho fichero, donde esté, y aparcar el problema.

DESCARGA DEL ELIMD5:
http://www.zonavirus.com/descargas/elimd5.asp

Y me gustaría saber si con ello llegamos a esta carpeta oculta que dices. Es el úlrimo "invento" que hemos hecho y queremos saber si es suficiente lo que hacemos. Como que si tiene una extensión atipica se habrá de marcar el mirar todas las extensiones , ya me direis que os parece, (tu y tu amigo )


Evidentemente hará falta luego eliminar y restaurar las claves modificadas, de lo que se encargara la utilidad que hagamos al respecto, posiblemente la siguiente version del ELISTARA, de lo cual informaremos.

Y recuerdos a vuestro pais, en cuya capital pasé unos días en el Tekendama, aparte de visitar otras preciosas ciudades, y llegar incluso hasta el Peñol..., lo mas lejos que llegué por aquí !

saludos

ms, 15-11-2008





NOTA: Y efectivamente, al pasar de WindowsServer2003 a WindowsServer2008, hubieron problemas en el automatismo de envio de muestras, lo cual ahora nuestro ADMIN ya ha resuelto. ms.

[msc hotline sat]

Recibidos los ficheros de muestra del OLGROS ya los controlamos con el ELISTARA como bat.netstop.AA

Pruebalo e informanos del resultado, gracias:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 17-11-2008

[jorge930421]

@echo off

:inicio

echo -----------------------------------------------

echo Se recomienda eliminar este archivo, su sistema puede estar en peligro

echo me encuentro en C:\WINDOWS\olgros.bat

echo Si no puede utilizar internet utilize firefox

echo si word no funciona utilice OpenOffice

echo si msn no funciona utilice amsn

ping -n 5 localhost

exit

[msc hotline sat]

Este Tema ya está solucionado según indicamos en el último post:

"ya los controlamos con el ELISTARA como bat.netstop.AA "

Así que procedemos a cerrar el Tema.

saludos

ms, 14-2-2009