virus newfolder.exe (SOLUCIONADO)

[geoda]

les cuento primero tengo un internet con wifi es rapido el problema empezo cuando uno de los empleados del ciber tuvo un flash pra imprimir luego empezo miproblemas

la mayoria de las personas usan youtube

estos son los problemas

1.- el internet se pierde a ratos hasta 1 hora y vuelve

2.- aparece una carpeta newfolder.exe en todas las unidades

3.- todas las carpetas se dupican ejem. mis documentos mis imagenes



mi antivirus nod32 2.7 actualizado hasta la fecha 4068 12/05/2009 no lo detecta ni la utilidad Elistara

mi sistemas es el windows Xp sp2 home Edition ie7

probe otros antivirus como el PerAntivirus adjunto imagen

y rav la utiliad detectaron y eliminaron pero sigo igual se pierde el internet

ademas uso deep freese

baje por si acasoel partche paraelconfinquer

[img]http://i40.tinypic.com/16gzgvb.jpg[/img]

[img]http://i40.tinypic.com/2eewx6w.jpg[/img]

[flacoroo]

bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas reiniciando tu compu en modo seguro y cuando diga explorar le das click; hasta que termine; despues nos pegas el resultado de C:infosat.txt



Prueba primero esta herramienta...

[url=http://www.zonavirus.com/descargas/elipen.asp]Descargar Elipen[/url] (vacuna el Pc y usb´s o pendrives)



y despues en modo seguro ejecutas estas....

[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elinotifdll.asp]Descargar Elinotiff[/url] (complemento del elistara, no se ejecuta pero deben estar en la misma carpeta)

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[geoda]

amigo segui con las utilidades y este es el resultado



Tue May 12 21:14:09 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad c:\ Protegida



Unidad E:\ Protegida



Unidad D:\ Protegida



(13-5-2009 01:14:32)

EliTriIP v5.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"

No detectado SP3 de Windows XP



(13-5-2009 01:14:39)

EliTriIP v5.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "c:\"



Nº Total de Directorios: 1050

Nº Total de Ficheros: 655

Nº de Ficheros Analizados: 225

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(13-5-2009 01:14:43)

EliStartPage v18.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



(13-5-2009 01:14:54)

EliStartPage v18.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1050

Nº Total de Ficheros: 655

Nº de Ficheros Analizados: 225

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Lamentablemente en la captura de imagen se ve que eliminaste los causantes, asi que no puedes enviarnos muestras de ellos para analizar y ver lo quemodifican, para restaurarlo...



Por esto siempre aconsejamos usar el AV ONLINE de kaspersky, que solo informa, no elimina, y asi podemos pedir y monitorizar las muestras para ver lo que hacen y deshacerlo...



Solo decirte que vemos que te faltan parches:



[b][i]Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP[/i][/b]



Lanza un windowsupdate e instala todos los que encuentre a faltar.



saludos



ms, 13-5-2009

[geoda]

amigo lo actualiza a Sp3 pero sigue estas crapetas no se sisera pero adjunto una muestra en adjuntos











[img]http://www.satinfo.es/zonavirus/zona.jpg[/img]



<ELIMINADO ADJUNTO>

[msc hotline sat]

Las muestras viricas no deben adjuntarse en los post !!! Así podría descargarselo cualquier y decirnos que estamos propagando virus... :roll: :? :!:



Recordar:





>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 15-5-2009

ref BO/LP-16.5-68.15





Y el fichero que anexabas... :


[quote="VirusTotal"]


File New_Folder.exe received on 05.15.2009 05:30:27 (CET)





Result: 32/40 (80%)





Antivirus Version Last Update Result

a-squared 4.0.0.101 2009.05.14 Virus.Win32.AutoRun.jq!IK

AhnLab-V3 5.0.0.2 2009.05.14 -

AntiVir 7.9.0.166 2009.05.14 Worm/Autorun.K

Antiy-AVL 2.0.3.1 2009.05.14 -

Authentium 5.1.2.4 2009.05.14 W32/Worm.FRY

Avast 4.8.1335.0 2009.05.13 Win32:AutoRun-BM

AVG 8.5.0.327 2009.05.14 Autoit.CN

BitDefender 7.2 2009.05.14 Trojan.Autoit.SS

CAT-QuickHeal 10.00 2009.05.14 TrojanDownloader.AutoIt.x

ClamAV 0.94.1 2009.05.14 W32.Autoit.Obfus-2

Comodo 1157 2009.05.08 Worm.Win32.AutoRun.k

DrWeb 5.0.0.12182 2009.05.14 -

eSafe 7.0.17.0 2009.05.14 Win32.Banker

eTrust-Vet 31.6.6505 2009.05.14 -

F-Prot 4.4.4.56 2009.05.14 W32/Worm.FRY

F-Secure 8.0.14470.0 2009.05.14 Worm.Win32.AutoRun.k

Fortinet 3.117.0.0 2009.05.14 W32/YahLover.SJ!worm

GData 19 2009.05.14 Trojan.Autoit.SS

Ikarus T3.1.1.49.0 2009.05.14 Virus.Win32.AutoRun.jq

K7AntiVirus 7.10.735 2009.05.14 Trojan-Downloader.Win32.AutoIt

Kaspersky 7.0.0.125 2009.05.14 Worm.Win32.AutoRun.k

McAfee 5615 2009.05.14 W32/YahLover.worm.gen

McAfee+Artemis 5615 2009.05.14 W32/YahLover.worm.gen

McAfee-GW-Edition 6.7.6 2009.05.14 Worm.Autorun.K

Microsoft 1.4602 2009.05.14 Worm:Win32/Nuqel.Q

NOD32 4076 2009.05.14 -

Norman 6.01.05 2009.05.14 -

nProtect 2009.1.8.0 2009.05.14 -

Panda 10.0.0.14 2009.05.14 W32/AutoRun.DJ.worm

PCTools 4.4.2.0 2009.05.13 Trojan.Autoit.BF

Prevx 3.0 2009.05.15 High Risk Cloaked Malware

Rising 21.29.34.00 2009.05.14 Trojan.Win32.Nodef.dqk

Sophos 4.41.0 2009.05.14 Mal/Sohana-A

Sunbelt 3.2.1858.2 2009.05.14 -

Symantec 1.4.4.12 2009.05.14 W32.SillyFDC

TheHacker 6.3.4.1.326 2009.05.14 W32/AutoRun.k

TrendMicro 8.950.0.1092 2009.05.14 WORM_YAHLOVER.AK

VBA32 3.12.10.5 2009.05.14 suspected of Trojan.Autoit.F

ViRobot 2009.5.14.1735 2009.05.14 Trojan.Win32.Autorun.225604

VirusBuster 4.6.5.0 2009.05.14 Worm.AutoIt.R

Additional information

File size: 364868 bytes

MD5...: fbafb2e4c83aac4d143acf6d0bf079c8

SHA1..: af8e63250d3a46030e40616ec7f22d0c1a15d330 [/quote]



por suerte saltó el VirusScan de McAfee:

[msc hotline sat]

Monitorizado el fichero NEW FOLDER.EXE, vemos que se trata de una variante de otro ya controlado, por lo que en el ordenador infectado, con el ELISTARA actual ya se aparcará y pedirá muestra para analizar.



Este virus tiene como picardias, el uso de un icono como si fuera una carpeta, el que se propaga via pendrive y el uso de un fichero de nombre parecido a uno de sistema (cambiando de posicion una letra, SCVHOST.EXE mientra que el normal es SVCHOST.EXE), y desactiva el acceso a la edicion del registro con el REGEDIT, el acceso al Administrador de tareas y el acceso a Opciones de carpeta .



Todo ello ya lo hacía la versión anterior, que ya controlabamos totalmente con el ELISTARA, y para este de ahora implementaremos su control, eliminacion y restauracion de claves modificadas a partir de la versión de hoy, 18.62 , que esta tarde subiremos a esta web para pruebas de evaluacion en el foro de zonavirus.



Aparte recomendamos vacunar ordenadores y pendrives con el ELIPEN..





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 15-5-2009

[msc hotline sat]

Ya hemos subido la version 18.62 del ELISTARA, con la que controlamos esta nueva variante del YahLover y sus "SCVHOST.EXE"


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 15-5-2009

[geoda]

(16-5-2009 00:14:42)

EliStartPage v18.62 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\BLASTCLNNN.EXE --> Eliminado YahLover

C:\WINDOWS\SYSTEM32\SCVHOST.EXE --> Eliminado YahLover

C:\WINDOWS\SCVHOST.EXE --> Eliminado YahLover

C:\WINDOWS\HINHEM.SCR --> Eliminado YahLover

Entrada Eliminada [HKCU\...\Run] "Yahoo Messengger"="C:\WINDOWS\system32\scvhost.exe"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(16-5-2009 00:16:23)

EliStartPage v18.62 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 4

Nº Total de Ficheros: 12

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(16-5-2009 00:16:29)

EliStartPage v18.62 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\mIRC\MIRC.EXE --> Eliminado, mIRC(chat)

C:\Documents and Settings\All Users\Documentos\AUTORUN.INF --> Eliminado, AutoRun.IZ(inf)

C:\Documents and Settings\All Users\Documentos\NEW FOLDER.EXE --> Eliminado, YahLover

C:\Documents and Settings\All Users\Documentos\SCVHOST.EXE --> Eliminado, YahLover

C:\Documents and Settings\All Users\Documentos\Mi música\MI MúSICA.EXE --> Eliminado, YahLover

C:\Documents and Settings\All Users\Documentos\Mi música\My Playlists\MY PLAYLISTS.EXE --> Eliminado, YahLover

C:\Documents and Settings\All Users\Documentos\Mi música\Música de muestra\MúSICA DE MUESTRA.EXE --> Eliminado, YahLover

C:\Documents and Settings\All Users\Documentos\Mi música\Sample Playlists\SAMPLE PLAYLISTS.EXE --> Eliminado, YahLover

C:\Documents and Settings\All Users\Documentos\Mi música\Sample Playlists\000C8AE0\000C8AE0.EXE --> Eliminado, YahLover

C:\Documents and Settings\All Users\Documentos\Mi música\Sync Playlists\SYNC PLAYLISTS.EXE --> Eliminado, YahLover

C:\Documents and Settings\All Users\Documentos\Mi música\Sync Playlists\379445\379445.EXE --> Eliminado, YahLover

C:\Documents and Settings\All Users\Documentos\Mis imágenes\MIS IMáGENES.EXE --> Eliminado, YahLover

C:\Documents and Settings\All Users\Documentos\Mis imágenes\Imágenes de muestra\IMáGENES DE MUESTRA.EXE --> Eliminado, YahLover

C:\Documents and Settings\All Users\Documentos\Mis vídeos\MIS VíDEOS.EXE --> Eliminado, YahLover



Nº Total de Directorios: 1761

Nº Total de Ficheros: 17690

Nº de Ficheros Analizados: 8053

Nº de Ficheros Infectados: 14

Nº de Ficheros Limpiados: 14

[img]http://i39.tinypic.com/2ujmi3b.jpg[/img]



AMIGOS MUCHAS GRACIAS RESOLVI MI PROBLEMA CON LA AYUDA DE USTEDES FELICITACIONES POR SUS CONSEJOS

Y UN ILLON DE FELICITACIONES PARA LOS CREADORES DE LAS UTILIDADES SATINFO

[msc hotline sat]

Sí, pero recuerde complementar lo que ha hecho lanzando un windowsupdate e instalando los parches que encuentre a faltar, que le faltan muchos !!! :



[b][i]No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/i][/b]



y celebrando lo que nos ha indicado y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 16-5-2009