Virus no detectados por NOD32

nemesysrgs · Mensaje por **nemesysrgs** » 12 Abr 2009, 22:50

Hola, les comento lo siguiente, tengo una sala con 20 maquinas las cuales controlo religiosamente todos los dias para mantenerlas libre de virus y cosas por el estilo, además de hacer service a otras salas que también controlo vía VNC. :wink:

Anteriormente tuve problemas con el fun.xls.exe, temp2.exe y varios mas, los que fueron bastante sencillos de quitar... pero hoy me encuentro con un posible virus que cambia de nombre :shock: , mas adelante voy a detallar lo que encontré :wink: . Empecé a rastrearlo por las PCS de mi sala y las de las demás salas a las cuales hago el mantenimiento y siempre aparece con nombres distintos. :oops:

El tema es que tengo el NOD32 actualizado, uso SP3, los usuarios son de tipo "Usuario Limitado" (oces no son Administradores de PC) los puertos USB estan bloqueados (algunos con plastico, lo confiezo, pero solo en mi sala :P ) y varios recaudos mas...

Al parecer, hasta hoy no hacia nada mas que figurar en todos los discos y dispositivos de almacenamiento masivo estuve mirando, pero hoy me encontré con el problema (solo en mi sala) de que en todas las PCS se traba al intentar guardar o imprimir desde MS Word. No estoy seguro de que sea a causa de este virus, pero para tratar de asegurarme infecte mi notebook con el archivo y navegue un tiempo, escribí y demás, y luego de un tiempo empezó a suceder lo mismo. Quizás sea el virus que les comente, u otro que esta en mi red, de cualquier manera envió una muestra de algunos de los archivos que encontré, que quizás sean los mismos, pero por las dudas los envió. Además envió un archivo de word que posiblemente este infectado... se que puede ser algún virus de macro y demás pero de todos modos también lo envió.

Listita:

bxvigz.exe

crkixe.exe

hdsxcn.exe

klzfal.exe

yomhar.exe

etc, etc, etc...

Todos con un autorun.inf en el dispositivo infectado.

Mensaje por **msc hotline sat** » 12 Abr 2009, 23:31

Pues lo mas probable es que sea un virus de los que se propaga por pendrive.

Ante todo vacuna ordenador y pendrives con el ELIPEN:

vacune todas sus unidades de disco y pendrive con el ELIPEN:

~~[b]~~ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Y luego prueba estas utiliaddes y nos posteas el informe resultante:

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 12-4-2009

nemesysrgs · Mensaje por **nemesysrgs** » 19 Abr 2009, 20:12

Sun Apr 12 21:17:28 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad C:\ Protegida

(13-4-2009 00:18:55)

EliTriIP v5.71 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"

Linea Eliminada del HOSTS --> #127.0.0.1 nprotect.lineage2.com

Linea Eliminada del HOSTS --> #127.0.0.1 update.nprotect.com

Linea Eliminada del HOSTS --> #127.0.0.1 update.nprotect.net

Linea Eliminada del HOSTS --> 127.0.0.1 vip.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip1.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip2.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip3.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip4.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip5.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip6.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip7.tt2xz.com

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

(13-4-2009 00:19:10)

EliTriIP v5.71 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 2573

Nº Total de Ficheros: 30365

Nº de Ficheros Analizados: 8718

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(13-4-2009 12:38:04)

EliTriIP v5.71 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

(19-4-2009 17:22:50)

EliStartPage v18.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> #127.0.0.1 nprotect.lineage2.com

Linea Eliminada del HOSTS --> #127.0.0.1 update.nprotect.com

Linea Eliminada del HOSTS --> #127.0.0.1 update.nprotect.net

Linea Eliminada del HOSTS --> 127.0.0.1 vip.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip1.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip2.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip3.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip4.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip5.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip6.tt2xz.com

Linea Eliminada del HOSTS --> 127.0.0.1 vip7.tt2xz.com

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE

(19-4-2009 17:23:27)

EliStartPage v18.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\control2\Escritorio\bio\drivers\sonido\Realtek_XP64_XP_2K(R208)\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{323D75E8-D0C7-4CEE-A652-50BD01D4BE10}\RP2\A0001190.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 2719

Nº Total de Ficheros: 29013

Nº de Ficheros Analizados: 9896

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

este es el contenido del archivo InfoSat.txt, de todas maneras los presuntos virus siguen estando en la pc apesar de estar vacunadas con el elipen... dejo una imagen. no se como puede ser posible, por que ya existe una carpeta con ese nombre en el disco...

[img]http://img27.imageshack.us/img27/5797/captura1o.jpg[/img]

tambien note lo siguiente:

maquina antes de la infeccion:

[img]http://img264.imageshack.us/img264/6186/captura15.jpg[/img]

maquina despues de la infeccion:

[img]http://img2.imageshack.us/img2/4566/captura2a.jpg[/img]

otra cosa que note fue que de vez en cuando aparece un cartel que no pude capturar para mostrar y luego de darle al boton "No Enviar" durente unos segundos la skin de windows xp se va y queda la de windows 98 luego vuelve a la normalidad

Mensaje por **msc hotline sat** » 19 Abr 2009, 20:39

Bueno, el ELIPEN sirve para evitar la propagacion de virus de pendrive, pero si ya han entrado, deben eliminarse con las utilidades de desinfeccion, antivirus, elistara, elitriip, etc...

El que haya la carpeta AUTORUN.INF en los pendrives y unidades removibles hace que en ellas no se pueda copiar dicho fichero, lo que hacen todos los virus de pendrive para que, al autoejecutarlo por obra y gracia de windows, lance el malware, pero ello tambien lo corregimos con dicha utilidad, en los ordenadores procesados con el ELIPEN indicado.

Aclarado esto, si bien este ordenador no se le infectará por inserción de un pendrive infectado (al no ejecutar los AUTORUN.INF de las unidades de pendrive), puede que tenga alguno pululando por ahí, y ya que vemos en la captura de pantalla que nos postea un AUTORUN.INF y un IRUYBV.EXE muy sospechosos, ademas de algunos ficheros con aparente icono de word y .doc con el nombre CONTAMINACION*.doc, envienoslo para analizar e informaremos

Y añadanos en el envio, muestra de este otro fichero que vemos oculto y de sistema en su analisis con el ATTRIB:

C:\yomahr.exe

para ello si quiere puede probar el ELIMOVER y se lo copiará a C:\muestras, y

si no lo conoce ni es voluntario, marque la casilla inferior izquierda de dicha utilidad para que renombre a .VIR el fichero original...

>~~[b]~~ENVIO DE MUESTRAS Y

ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Aparte, en el infosat vemos:

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

pues lance un windowsupdate e instale los parches pendientes ... !!!

saludos

ms, 19-4-2009

NOTA: y por cierto, la carpeta AUTORUN.INF sirve para evitar ficheros con este nombre en el directorio raiz de los pendrives y unidades extraibles, que es de donde las autoejecuta windows al insertar dichos drives, pero claro, si la copia en otra carpeta pueden coexistir los dos. ms.

Virus no detectados por NOD32

Virus no detectados por NOD32

Re: Virus no detectados por NOD32

Re: Virus no detectados por NOD32

Re: Virus no detectados por NOD32