Un virus de un pendrive me ha desinstalado todos los anti

[msc hotline sat]

SI este ordenador tiene disquetera, descarga a un disquete la utilidad ELIBAGLA.EXE, lo proteges contra escritura y lo llevas a este ordenador y lo pruebas, y si no, mira si tienes un pendrive que tenga switch de proteccion contra escritura y haz lo mismo.



Pero mientras , envianos alguna de estas utilidades infectadas para que podamos analizarla y ver que mas tienes que te las infecta...



saludos



ms, 18-3-2009

[Caliptratus]

He enviado el ElibaglA corrupto por el foro a través de envío de muestras. (Espero haber hecho lo correcto)



Preguntas : los otros 2 ordenadores de la red no presentan problemas,

¿Puedo infectarlos si uso la red?

¿Puedo transmitir el virus por tarjeta de memoria SD?





Problemas : tengo una vieja disquetera de floppies pero no encuentro ningún disquette por casa.

¿Cuando lo encuentre como hago para bajarlo a la disquetera directo?

Protegerlo contra escritura es bloquear la chapa ¿no?





Gracias y disculpe

[msc hotline sat]

Si proteges ordenador y pendrives con el ELIPEN no se propagará por pendrive, aunque sea un virus de este tipo:





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y a traves de red, depende del virus que sea, por ejemplo el CONFICKER se propaga tambien por comparticiones administrativas, aunque no sea este caso.



Mañana cuando volvamos al trabajo en SATINFO, lo analizaremos e informaremos



saludos



ms, 18-3-2009

[Caliptratus]

El fichero ELIPEn también se ha corrompido :cry: y lo he comprimido y enviado.





Saludos

[Caliptratus]

Por cierto, en otro PC he tratado de vacunar un pendrive de ATIVA y no me lo permite.



¿Por qué?





Saludos

[lucl]

Ni idea espera que vea el mensaje msc y te diga algo al respecto saludos

[msc hotline sat]

Prueba de crear en este pendrive una carpeta que se llame AUTORUN.INF e informanos del resultado



saludos



ms, 19-3-2009

[msc hotline sat]

A la espera de tus noticias sobre si puedes crear dicha carpeta en los pendrives, hemos recibido los dos ficheros y funcionan correctamente, sin ninguna indicacion de haber sido modificados . Prueba dichas utilidades en otro ordenador, y lo veras... Pensamos que puedas tener u nproblema en las memorias o en el procesador, y que no lea bien o no procese bien la informacion... ???



Dinos lo de la creacion de carpeta y la prueba de dichas utilidades en otro ordenador, y si es el caso... revisa el hardware, porque de ser asi, en lo que calcule o procese dicho ordenador puede haber resultados erroneos...



Ello sumado a que posiblemente tenga Bagle, claro !



saludos



ms, 19-3-2009

[Caliptratus]

¿Cómo sé si mi pendrive tiene [b]switch de proteccion contra escritura[/b]?



Lo de crear la carpeta entiendo que es sólo eso crear una carpeta con ese nombre.



Me bajo el ELIBAGLA en otro ordenador lo meto al pendrive, lo pincho en el mío y ejecuto desde el pendrive.





Saludos

[msc hotline sat]

Lo del switch es cuestion de mirarlo. los que lo tienen se ve a simple vista (muy pequeñito, eso si.)



Y dinos sin sabes que es tipo U3, en cuyo caso puede tener particiones inaccesibles (cifradas para proteccion de datos)



Lo que preguntas de la creacion de la carpeta, sí, es ver si puedes crear una carpeta con dicho nombre (mira que no la haya ya, claro)



Y te bajas el ELIBAGLA en otro ordenador, lo pruebas en el mismo para comprobar que vaya, luego lo llevas al tuyo y lo copias y pruebas en él, y nos cuentas el resultado.



saludos



ms, 19-3-2009

[Caliptratus]

Creo que es U3.



Tiene por defecto 3 archivos que se vean :

Un autorun don lo siguiente :

[AutoRun]

open=LaunchU3.exe

icon=LaunchU3.exe,0



[Definitions]

Launchpad=LaunchPad.exe



[CopyFiles]

FileNumber=1

File1=LaunchPad.zip



Un Launchpad.rar de 2927 Kb

y un LaunchU3.exe de 900 KB



Y no lo puedo vacunar con el ELIPEN (en otro ordenador)



[b]¿Serviría?[/b]



Saludos





Saludos

[msc hotline sat]

Sí, es un U3... y eso es otra histioria.



El acceso a la unidad de datos solo puede hacerse una vez ejecutado el lanzador y entrada la clave, pero no es facil que se te infecten estos.



De todas maneras, si una vez has abierto la zona de datos, lanzas el ELIPEN sobre dicha unidad (no sobre la de base del encriptador), debes poder copiar ficheros , carpetas y logicamente el ELIPEN podria crear la de la vacuna.



De estos nosotros usamos los cifrados de McAfee para copias de seguridad y traslados de informacion al exterior: http://www.satinfo.es/archivo/productos/folletos/USB_cifrado.pdf



Pero de lo que hablamos con el ELIPEN son de los normales, el 99,99 % actualmente.



saludos



ms, 19-3-2009

[Caliptratus]

Por fin, desde el pendrive he conseguido ejecutar el ELIBGLA y esta es la información recaba con SatInfo.txt.



[b]Voy ha hacer lo mismo con el otro fichero ElistarA.[/b]







Thu Mar 19 19:54:23 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad H:\ No se Pudo Proteger





Thu Mar 19 19:54:37 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Unidad C:\ Protegida



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Thu Mar 19 19:54:55 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad H:\ No se Pudo Proteger



Thu Mar 19 19:55:13 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad I:\ YA esta Protegida



Thu Mar 19 19:55:23 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad I:\ YA esta Protegida



Thu Mar 19 19:55:31 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad J:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad J:\ No se Pudo Proteger



Thu Mar 19 19:55:43 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad K:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad K:\ No se Pudo Proteger



Thu Mar 19 19:56:09 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Unidad I:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Thu Mar 19 20:03:09 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ YA esta Protegida



(19-3-2009 19:3:46)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle.dldr Acceso Denegado.

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



(19-3-2009 19:6:21)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.



(19-3-2009 19:11:58)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\DRIVERS\WINUPGRO.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.



(19-3-2009 19:13:28)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\old\Documents and Settings\1\Datos de programa\drivers\SROSA2.SYS --> Eliminado Bagle(rootkit)



Nº Total de Directorios: 12006

Nº Total de Ficheros: 103202

Nº de Ficheros Analizados: 19024

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



El elemento en cuestión le denomina [b]SROSA".SYS (Bagle -rootkit) 694 cadenas viricas[/b]





Saludos

[Caliptratus]

El ElistarA me da esto :



Thu Mar 19 20:36:58 2009

EliStartPage v17.82 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

C:\Documents and Settings\User\Datos de programa\Desktopicon\EBAYSHORTCUTS.EXE --> Eliminado, PWS-WoW.YU

C:\Documents and Settings\User\Mis documentos\Mis imágenes\GA 8IPE1000\audio\Realtek\Ap\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

C:\old\WINDOWS\system32\MD5.DLL --> Eliminado, PWS-WoW.YU

C:\WINDOWS\system32\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 12004

Nº Total de Ficheros: 102408

Nº de Ficheros Analizados: 28347

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5





¿Qué hago ahora?



saludos y Gracias

[lucl]

Mira si al reiniciar termino el elibagla su trabajo, date cuenta que te pide reiniciar. Si no lo consigues echa un vistazo a este link y nos comentas saludos





https://foros.zonavirus.com/viewtopic.php?f=5&t=23824

[msc hotline sat]

Bueno, al final ya se eliminó el Rootkit dichoso:


[quote](19-3-2009 19:13:28)

EliBagle v12.37 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Marzo del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\old\Documents and Settings\1\Datos de programa\drivers\SROSA2.SYS --> Eliminado Bagle(rootkit)[/quote]

Tal como decimos en los bagle resistentes, tras la primera pasada del ELIBAGLA se ha de arrancar en modo seguro y volver a pasar dicha utilidad, que es cuando podemos acceder al fichero en cuestion y lo eliminamos.



Y lo de los pendrive, recuerda que estos que no pudiste proteger deben ser U3 y no tener accesible la particion cifrada, o no tener insertado el pendrive en el port USB correspondiente, aparte de lo del switch antigrabacion que algunos tienen.



Y por otra parte, vemos que el ELISTARA tambien hizo su faena... :wink:



Cuentanos si tras todo lo hecho, tras reiniciar persiste alguna anomalia o podemos dar por solucionado el Tema, gracias



saludos



ms, 20-3-2009

[Caliptratus]

[center][b]¡¡¡¡Dios, al fín!!!![/b][/center]



Aunque aún me queda instalar el NOD32, ( o me recomiendan algún otro gratuito) han desaparecido todos los bloqueos :



Puedo arrancar en modo seguro

Puedo recibir los faxes de la Brother

Puedo instalar : SpyBot S&D + AdWare + CCleaner

Puedo conectar con el móvil.





Muchas gracias

[msc hotline sat]

Ah bueno ! :roll: :lol: :mrgreen:



Ha costado lo suyo, pero una vez mas lo hemos "pisado" ! :wink:



Ahora bien, esto que dices de " Aunque aún me queda instalar el NOD32, ( o me recomiendan algún otro gratuito) " ten en cuenta que el NOD32 no es gratuito ... y como los demas para uso profesional, tras el periodo de evaluacion, trial o shareware, debe adquirirse la correspondiente licencia de uso.



Otra cosa son los freeware, generalmente reservados para uso domestico, como la version HOME del AVG



Nosotros usamos McAfee, claro !



Pero lo mas importante es que elijas el que mas te agrade, al menos que cuando te infcetes sea con uno a tu gusto ... ! :?



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 21-3-2009