ayuda con unos virus...

[juancar373]

Hola a todos, ¿qué tal?. Vereis, resulta que hoy me he visto obligado a utilizar una memoria USB en los ordenadores de mi facultad, y como era previsible, se me ha infectado. Lo he tratado de eliminar pero no se si lo he logrado del todo, asi que por si acaso he hecho una pasada con el kaspersky online y aqui os muestro las lineas del informe significativas:



[color=#800000][i]C:\Documents and Settings\Juan Carlos\Configuración local\Datos de programa\Identities\{225AF543-E126-4595-9F32-4899F59CED6E}\Microsoft\Outlook Express\Elementos enviados.dbx/[From "Juan Carlos Alonso" ][Date 24 Mar 2009 23:44:42][Subj civil 3d 2008]/Civil_3D_2008 crack.rar/Civil_3D_2008/KEYGEN.EXE Infectados: Trojan.Win32.Agent.aygq saltado



C:\Documents and Settings\Juan Carlos\Configuración local\Datos de programa\Identities\{225AF543-E126-4595-9F32-4899F59CED6E}\Microsoft\Outlook Express\Elementos enviados.dbx/[From "Juan Carlos Alonso" ][Date 24 Mar 2009 23:44:42][Subj civil 3d 2008]/Civil_3D_2008 crack.rar Infectados: Trojan.Win32.Agent.aygq saltado



C:\Documents and Settings\Juan Carlos\Configuración local\Datos de programa\Identities\{225AF543-E126-4595-9F32-4899F59CED6E}\Microsoft\Outlook Express\Elementos enviados.dbx MailMSOutlook5: infectado - 2 saltado



C:\Documents and Settings\Juan Carlos\Escritorio\Rapidshare\GRCC3D08\Civil_3D_2008\KEYGEN.EXE Infectados: Trojan.Win32.Agent.aygq saltado



C:\Documents and Settings\Juan Carlos\Escritorio\Rapidshare\GRCC3D08\Civil_3D_2008 crack.rar/Civil_3D_2008/KEYGEN.EXE Infectados: Trojan.Win32.Agent.aygq saltado



C:\Documents and Settings\Juan Carlos\Escritorio\Rapidshare\GRCC3D08\Civil_3D_2008 crack.rar RAR: infectado - 1 saltado



C:\Documents and Settings\Juan Carlos\Mis documentos\Mis descargas\Nero.v9.2.6.0\Keygen + Instrucciones\Keygen BetaMaster\Nero 9.0 Keymaker & Patcher v4.02-BetaMaster.exe Infectados: Packed.Win32.Black.a saltado



C:\RECYCLER\S-1-5-21-606747145-1303643608-1644491937-1004\Dc211.bak/[From "Juan Carlos Alonso" ][Date 24 Mar 2009 23:44:42][Subj civil 3d 2008]/Civil_3D_2008 crack.rar/Civil_3D_2008/KEYGEN.EXE Infectados: Trojan.Win32.Agent.aygq saltado



C:\RECYCLER\S-1-5-21-606747145-1303643608-1644491937-1004\Dc211.bak/[From "Juan Carlos Alonso" ][Date 24 Mar 2009 23:44:42][Subj civil 3d 2008]/Civil_3D_2008 crack.rar Infectados: Trojan.Win32.Agent.aygq saltado



C:\RECYCLER\S-1-5-21-606747145-1303643608-1644491937-1004\Dc211.bak MailMSOutlook5: infectado - 2 saltado



C:\System Volume Information\_restore{4B99584D-AD7E-4F91-969C-DBCD3EB2FE80}\RP14\A0000781.exe Infectados: Worm.Win32.AutoRun.evy saltado [/i][/color]



Como veis, muchos de ellos se tratan de generadores de claves, que no se si realmente son virus, lo cual agradecería que me aclaraseis.



Yo quisiera saber qué debo hacer para eliminar todos estos virus, y si es posible, que me dieseis alguna noción basica para saber cuando un archivo infectado puede ser eliminado sin más o cuando no, ya que no es la primera vez que hago una consulta en el foro (aprovecho para agradecer la ayuda que se me ha ofrecido en todas las ocasiones), y me gustaría tratar de ser un poco más "independiente", pero tengo el miedo de borrar algun archivo y provocar algún fallo peor que el virus..



Una vez mas muchas gracias a todos por la ayuda. Un saludo

[msc hotline sat]

Pues descarga dos utilidades: el ELISTARA y el ELIPEN



Con la primera elimiarás todos los troyanos que conozca dicha utilidad, y los que no, envianoslos para analizar y controlar en la proxima version (cada día hacemos una nueva)



Y con la segunda, vacuna tu ordenador, para que no se infecte con virus de pendrive por enchufarle uno infectado, y vacuna ademas tus pendrives para que no se infecten con los lanzadores AUTORUN.INF que usan siempre estos virus al conectarlos a ordenadores infectados.




[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]







vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 17-4-2009

[juancar373]

Hola de nuevo:

Ya he pasado el ELISTARA aunque parece ser que no ha detectado nada, aqui esta el reporte:


[quote][color=#000080] (17-4-2009 17:04:45)

EliStartPage v18.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(17-4-2009 17:04:56)

EliStartPage v18.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4741

Nº Total de Ficheros: 51606

Nº de Ficheros Analizados: 20698

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0[/color][/quote]

He vacunado también el ordenador y la memoria como me comentas. Por ultimo, he mandado las muestras como me pides, a excepción de esta:
[quote]C:\System Volume Information\_restore{4B99584D-AD7E-4F91-969C-DBCD3EB2FE80}\RP14\A0000781.exe Infectados: Worm.Win32.AutoRun.evy saltado[/quote]
ya que no me permite entrar en la carpeta System Volume Information, ¿qué debo hacer?



Muchas gracias por la ayuda.

[msc hotline sat]

No, las del RESTORE estan aparcadas, y salvo que se restaurase a un punto anterior, no afectan. Ya las eliminaremos con lo que controlemos lo demas.



Al revisar que mas había, he visto lo que preguntabas sobre generadores de claves . Keygen, craks y similares son herramientas de pirateo, ilegales y prohibidas en este foro. No debes usarlas o seras desactivado del foro... piratas no, gracias !



Y lo que me parece raro es que hayas podido acceder a C:\RECYCLER\S-1-5-21-606747145-1303643608-1644491937-1004\Dc211.bak ...



Si no has podido, prueba con el ELIMOVER, entra ruta y fichero (todo lo indicado) y una vez movido a C:\muestras podrás enviarnoslo desde allí. Es típico de muchos virus de pendrive el usar una especie de papelera en la que desde windows no se puede acceder facilmente, por ello hicimos esta utilidad





ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp





saludos



ms, 17-4-2009

[juancar373]

Vaya... no me fije en esa linea, y como vi que los que salían en Recycler eran los mismos ficheros que los de las otras ubicaciones me tomé la libertad de eliminar la carpeta entera... ¿hice mal? Disculpame por el error...



Por lo demás, los otros archivos infectados, ¿los puedo borrar sin más?

[msc hotline sat]

Pues es una pena, ya que nos quedamos sin poder ayudarle en la eliminacion de los troyanos que llamaba desde dicho AUTORUN, y en consecuencia tampoco podremos desinfectar el RESTORE... Pues bueno, arranque en modo seguro, desactive la restairacion de sistema y asi podrá eliminar dicho fichero del RESTORE, y luego vuelva a activar la restauracion paravque vaya creando puntos para el futuro.



Y el lunes, cuando volvamos al trabajo en SATINFO, analizaremos las muestras enviadas e informaremos



saludos



ms, 17-4-2009





NOTA : pero dice que se ha cargado la carpeta RECYCLER ??? entonces se ha quedado sin papelera de reciclaje !!! conforme este punto, gracias. ms.

[juancar373]

Vale, muchas gracias y disculpeme por haber eliminado la carpeta... No me fije.



Un saludo y gracias por la ayuda.

[juancar373]

Ah y en respuesta a lo de la papelera (que no lo habia leido antes), yo no observo ningun problema con ella. He eliminado algun archivo por probar y se va sin problemas a la papelera de reciclaje. Ha vuelto a aparecer la carpeta.



Gracias

[msc hotline sat]

Lo decía por lo que nos indica al respecto [b][i]"como vi que los que salían en Recycler eran los mismos ficheros que los de las otras ubicaciones me tomé la libertad de eliminar la carpeta entera... "[/i][/b] , pero parece que sobrevivió a dicha eliminación... :wink:



Quizas solo vació la papelera, no eliminó la carpeta ...o se ha regenerado al ser del sistema. La verdad es que nunca se me ha ocurrido eliminarla, maximo vaciarla, pero bBueno, fuera lo que fuera, ahora va bien, pues lo dejamos estar.



Pero al revisar el Tema he visto que el ELISTARA indica: [b][i]No detectado SP3 de Windows XP[/i][/b]



Pues lance un windowupdate y actualice los parches pendientes que le detecte que faltan.



saludos



ms, 18-4-2009

[msc hotline sat]

Recibimos 2 muestras con tu nick, las cuales son detectadas por la mayoria de los antivirus, por lo que pasamos a controlarlas por cadenas y eliminarlas en nuestra version de hoy del ELISTARA 18.44



Parecen ser keygen de alguna aplicacion y keymakers del Nero, utilidades de pirateo malicioso por lo cual se consideran malware.


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 20-4-2009









NOTA: Analisis con VirusTotal



Efectivamente el Keygen.exe está detectado por la mayoria de antivirus:



File KEYGEN.EXE received on 04.06.2009 17:24:08 (CET)

Current status: finished



Result: 31/39 (79.49%)

Compact Print results

Antivirus Version Last Update Result

a-squared - - Trojan.Win32.Agent!IK

AhnLab-V3 - - Win-Trojan/Agent.44601.B

AntiVir - - TR/Packed.12063

Antiy-AVL - - Trojan/Win32.Agent

Authentium - - W32/Heuristic-210!Eldorado

Avast - - -

AVG - - Generic10.OQW

BitDefender - - Trojan.Packed.12063

CAT-QuickHeal - - Trojan.Agent.aygq

ClamAV - - -

Comodo - - TrojWare.Win32.Agent.aygq

DrWeb - - -

eSafe - - Win32.Infostealer.ga

eTrust-Vet - - -

F-Prot - - W32/Heuristic-210!Eldorado

F-Secure - - Trojan.Win32.Agent.aygq

Fortinet - - -

GData - - Trojan.Packed.12063

Ikarus - - Trojan.Win32.Agent

K7AntiVirus - - Trojan.Win32.Malware.1

Kaspersky - - Trojan.Win32.Agent.aygq

McAfee - - PWS-Mmorpg.gen

McAfee+Artemis - - PWS-Mmorpg.gen

Microsoft - - -

NOD32 - - probably a variant of Win32/PSW.Agent

Norman - - Suspicious_F.gen

nProtect - - Trojan/W32.Agent.44601

Panda - - Trj/Lineage.BZE

PCTools - - Packed/FSG

Prevx1 - - Medium Risk Malware

Rising - - -

Sophos - - Mal/Packer

Sunbelt - - Trojan.Packed.1

Symantec - - Infostealer.Gampass

TheHacker - - Trojan/Agent.aygq

TrendMicro - - TROJ_Generic.A

VBA32 - - Trojan.Win32.Agent.aygq

ViRobot - - -

VirusBuster - - Packed/FSG

Additional information

MD5: 1f092f4ef5b1f7fb61df1770b038ba54

SHA1: 2d83fb551ffd042fd5c6231c053649adfdafc546





y el keymaker, mas de lo mismo:



File Nero_9.0_Keymaker___Patcher_v4.02 received on 04.20.2009 10:28:02 (CET)

Current status: finished



Result: 29/40 (72.50%)

Compact Print results

Antivirus Version Last Update Result

a-squared - - Riskware.Keygen.Nero!IK

AhnLab-V3 - - -

AntiVir - - TR/PCK.Black.A.1550

Antiy-AVL - - Packed/Win32.Black

Authentium - - W32/Heuristic-210!Eldorado

Avast - - -

AVG - - Win32/Themida

BitDefender - - Trojan.Packed.45180

CAT-QuickHeal - - Trojan.Black.a

ClamAV - - -

Comodo - - TrojWare.Win32.Trojan.Black.~DW

DrWeb - - Trojan.Packed.650

eSafe - - Win32.Packed.Black.a

eTrust-Vet - - -

F-Prot - - W32/Heuristic-210!Eldorado

F-Secure - - Packed.Win32.Black.a

Fortinet - - W32/Black.A

GData - - Trojan.Packed.45180

Ikarus - - not-a-virus.Keygen.Nero

K7AntiVirus - - Backdoor.Win32.Small.DFUJ

Kaspersky - - Packed.Win32.Black.a

McAfee - - Generic.dx

McAfee+Artemis - - Generic.dx

McAfee-GW-Edition - - Trojan.PCK.Black.A.1550

Microsoft - - -

NOD32 - - probably a variant of Win32/Obfuscated

Norman - - W32/Smalldoor.DFUJ

nProtect - - Trojan/W32.Black.3548672

Panda - - Trj/Downloader.MDW

PCTools - - -

Prevx1 - - High Risk System Back Door

Rising - - -

Sophos - - Mal/Generic-A

Sunbelt - - Packed.Win32.Black.a

Symantec - - Backdoor.Trojan

TheHacker - - Trojan/Black.a

TrendMicro - - -

VBA32 - - -

ViRobot - - -

VirusBuster - - -

Additional information

MD5: 3af1caa3206f513a77da611090f40aaf

SHA1: 118e9d68783914b1c43514b1e9ea1f4b47c3a2de