PC inestable a raiz de virus win32/salite (SOLUCIONADO)

[thefla]

Todo sucedio a raiz k mi usb en donde tenia mis documentos los trabaje en otra PC al parecer infectada... cuando lo lleve a mi PC ... cuando abria cualquier documento en word me salia el aviso del NOD32 k detecto y troyano y lo puso en cuarentena y al cabo de un rato recien abre el documento, el mismo mensaje pasa cuando abro cualquier carpeta de mi USB sale el mensaje lo cierro y al cabo de un rato la carpeta sale en otra ventana. Al tratar de recuperar mi informacion de mi USB copie todo el contenido..a una carpeta en mi disco duro.. y saque el USB porque tambien me salia a cada rato error de autorun. por mas que le pase el antivirus al USB no me detectaba nada. Despues me di cuenta que los documentos de word tenian el mismo tamaño de 108kb , entonces al muestrar todos los archivos ocultos..y de sistema..walaaa... los documentos k tenia la misma cantidad tenian extension exe , pero con el icono de word y el archivo original de word estaba con atributo de oculto y de sistema. Al querer darle click derecho y kitarle los atributos no habia la opcion para kitarselos.. y los hice por la consola msdos con el comando attrib. A partir de ahi mi makina la fecha se para retrasando no me entra al msn (obvio por la fecha) tengo problemas con el internet y algunas carpetas (no las del USB) se me estan abriendo en otra ventana y el antivirus ya se lo borro y cuando kiero cargarlo..no lo hace. A ver si me ayudan como solucionar el problema de la pC y el contenido de mi USB, para que las carpetas no llamen a ese trojano.

Muchas gracias

[msc hotline sat]

Tuviste el acierto de deshacer lo hecho por el malware y asi poder recuperar los ficheros ocultados por él y sustituidos por una copia del bicho en ficheros EXE con icono de word y mismo nombre que los ocultos, una picaresca que hace dicho virus, el cual espero que ya hayas eliminado con tu antivirus, si bien ronda otro de los que se propagan por pendrive, (o es uno nuevo que hace las dos cosas, pues no recuerdo que el Sality hiciera lo indicado) y que posiblemente aun no lo detecte, pero vamos a por él:



De entrada vacuna el ordenador y los pendrives con el ELIPEN, para evitar que tu ordenador se infecte al procesar los AUTORUN.INF de pendrives infectados, asi como que no se copien posibles AUTORUN.INF infectados a tus pendrives, que es el método que usan todos los virus de dicho tipo:







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





Luego descarga estas otras dos utilidades, ELISTARA y ELITRIIP y pruebalas, a ver si es alguno de los que ya conocemos:


[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos


[/quote]

y en tal caso, ya será eliminado, sino, lo veremos en el infosat.txt y te pediremos muestra para analizar y controlar.



Es que a veces no solo hay uno ... :wink:



saludos



ms, 8-4-2009

[thefla]

Hola muchachos gracias por responder.... la verdad es que la PC se me volvio tan inestable que ya no keria entrar en la pagina del foro..entraba a otros menos al foro.. y al no tener mas salida.. tuve que formatear la unidad C de mi makina, actualize el sistema e instale el antivirus nuevo y actualizado NOD32.. luego de eso procedi a proteger las unidades de mi makina con el ELIPEN asi como el USB y escanee ambas unidades con el ELISTARA y el ELIITRIP aver si habia rastros del virus en la Unidad D en donde habia copiada la informacion de la USB....pero al parecer no habia rastros del tal Salite pero si detecto algunos bichos creo k comunes ...como lo muestra el infosat siguiente:





Tue Apr 07 21:33:51 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad D:\ Protegida



(8-4-2009 18:30:01)

EliStartPage v18.39 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-4-2009 18:30:26)

EliStartPage v18.39 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 2889

Nº Total de Ficheros: 35359

Nº de Ficheros Analizados: 11504

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(8-4-2009 18:33:13)

EliStartPage v18.39 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

D:\juan vega\INSTALL\PERONE97.EXE --> Eliminado, LowZones(dr)



Nº Total de Directorios: 13485

Nº Total de Ficheros: 172447

Nº de Ficheros Analizados: 30028

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(8-4-2009 18:42:39)

EliStartPage v18.39 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 79

Nº Total de Ficheros: 1158

Nº de Ficheros Analizados: 8

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-4-2009 18:43:05)

EliTriIP v5.71 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"

No detectado SP3 de Windows XP



(8-4-2009 18:43:13)

EliTriIP v5.71 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2887

Nº Total de Ficheros: 35357

Nº de Ficheros Analizados: 10128

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-4-2009 18:46:17)

EliTriIP v5.71 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

D:\DAVID\Cabrera\Samsung\BACKUP_ENRIQUE_CABRERA_UNIDAD_D\TUNEP UP 2007 + KEYGEN\keygen.exe --> Eliminado, KeyGen.Bublic

D:\INSTALL\TUNEP UP 2007 + KEYGEN\keygen.exe --> Eliminado, KeyGen.Bublic



Nº Total de Directorios: 13485

Nº Total de Ficheros: 172446

Nº de Ficheros Analizados: 26648

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(8-4-2009 18:54:08)

EliTriIP v5.71 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 79

Nº Total de Ficheros: 1158

Nº de Ficheros Analizados: 8

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Al parecer el troyano Salite ya estuvo eliminado aun asi.. revise bien la informacion de la USB para estar bien seguros, al ver todo bien y estar con la pC bien protegida, procedi a formatear la USB para tenerla operativa y protegida del autorun.

Me hubiese gustado haberlo eliminado sin tener que formatearlo ya k raras veces elimino un troyano teniendo que formatear mi PC. En fin con los pasos que dieron pude eliminar algunos rastros que hubiese habido. Muchas gracias y aver si me explicais como eliminar ese tipo de virus que la verdad con lo que vi de cambiar los doc a exe.. me tuvo loco. Gracias de antemano.



p.d. porke las utilidades Elistara y Eliitrip al ejecutarlas..me dice k ya no es freeware?... tendra que ver algo en su funcionamiento al momento de testear? o sera ya menos efectivo?

[msc hotline sat]

Nuestras utilidades nunca han sido freeware, y en este foro se ofrecen para evaluacion, pero con Copyright de SATINFO para los asociados a sus servicios tecnicos.





En fin, no vemos ningun AUTORUN que delate un virus de pendrive, pero vacuna con el ELIPEN ordenadores y pendrives, asi evitaras su propagacion.



Y lo mas grave, no tienes actualizados los parches de microsoft : [b][i]No detectado SP3 de Windows XP[/i][/b]



Debes lanzar un windowsupdate e instalar el SP3 y demas críticos posteriores , como el MS08-067 y MS08-078



saludos



ms, 8=4=2009

[thefla]

Hablando de eso...siempre las utilidades hace buen tiempo me salen k no tengo actualizado ....cuando lo primero k hago es actualizar todos los parches habidos..... Bueno en fin... tengo todas mis unidades protegidas por el elipen asi como os pendrives. Gracias por su ayuda.

[msc hotline sat]

Pues vigila ya que en el registro no aparecen las marcas de que estén instaladas, comprueba en Inicio -> Panel de Control -> Agregar o Quitar Programas, que allí las veas instaladas, pues de no estarlo tendrías vulnerabilidades conocidas que están siendo utilizadas por los malwares... y los antivirus nada podrían hacer para evitar su entrada. Solo un buen cortafuegos, mejor por hardware para que no fuera desactivado "soplando".



Y ya con todo lo indicado, damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 9-4-2009