De nuevo con virus...

[Renata]

Buenos días, estoy estudiando diseño gráfico, ayer me enviaron el programa en cuestión, no se si se pueda decir el nombre... lo bajé de una de esas páginas de alojamiento, antes de instalarlo le pasé el antivirus al .zip... nunca logré abrirlo y trabajar en él. Esta mañana mi pc no quería arrancar, le pasé mi antivirus nada 0 archivos infectados, ya he desinstalado el programa en mención me vine a zona virus y miren los resultados:

No puedo enviar muestras, la carpeta está vacía asi mismo el AUTORUN, todo en blanco.



Mon May 18 12:45:03 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Detectado F:\Autorun.inf

OPEN=I.CMD

F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



(18-5-2009 17:47:24)

EliStartPage v18.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



(18-5-2009 17:47:32)

EliStartPage v18.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"

F:\0BCOBED.EXE --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 140

Nº Total de Ficheros: 6010

Nº de Ficheros Analizados: 47

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(18-5-2009 17:48:05)

EliStartPage v18.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Alvaro Niño\Mis documentos\Downloads\Coerl Draw X3\Corel_Draw_X3_Version_13._by_cronos\Corel Draw X3 Version 13\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)

C:\RECYCLER\S-1-5-21-1004336348-746137067-682003330-1003\Dc4._by_cronos\Corel Draw X3 Version 13\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)



Nº Total de Directorios: 4909

Nº Total de Ficheros: 66302

Nº de Ficheros Analizados: 21282

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(18-5-2009 17:58:27)

EliStartPage v18.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 151

Nº Total de Ficheros: 913

Nº de Ficheros Analizados: 324

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-5-2009 17:58:36)

EliStartPage v18.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 151

Nº Total de Ficheros: 913

Nº de Ficheros Analizados: 324

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Sea el momento de agradecer el apoyo que nos brindan.



Saludos

Renata.

[msc hotline sat]

Pues el ELISTARA ha detectado y eliminado en varias zonas un ONLINE GAMES, vero vemos que tambien el ELIPEN ha detectado esta AUTORUN, que ha aparcado, pero en ningun analisis veo que se haya eliminado el fichero que ejecuta:



Detectado F:\Autorun.inf

OPEN=I.CMD

F:\Autorun.inf -> Renombrado a .OLD





Prueba el ELISTARA sobre esta unidad F: donde detectó y añadió .OLD al fichero AUTORUN.INF, dejandolo en AUTORUN.INF.OLD, y posteanos el c:\infosat.txt resultante



Si no ves ningun I.CMD en el informe, envianos dicho fichero y dicho AUTORUN.INF.OLD para analizar:





YA SABES:



>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion,



si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 18-5-2009

[Renata]

Antes de pasar el Elistara encontré un Autorun en D, así que lo acabo de enviar a muestras como lo sugieres y se debe hacer.



Mi pregunta es: ¿Esos Autorun los debo eliminar de mi pc? o sea debo borrar esas carpetas después de enviarlas a ustedes?



Gracias.



Voy a pasar el Elistara ahora mismo.



Saludos,

Renata.

[Renata]

Ahora si he pasado el Elistara en F: este es el INFO, allí había una carpeta con Autorun y un archivo .swf que dice Autorun .old



Enviaré de inmediato el Autorun a muestras.



Gracias.



(19-5-2009 01:46:21)

EliStartPage v18.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



(19-5-2009 01:46:35)

EliStartPage v18.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 140

Nº Total de Ficheros: 6005

Nº de Ficheros Analizados: 46

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





El archivo Autorun.Inf.old no se puede pasar a .rar así que solo envié e otro.



Gracias de nuevo.



Renata.

[msc hotline sat]

Lo que necesitamos que nos envies es el I.CMD que te pediamos, si no puedes enviar ademas elñ AUTORUN, es una pena, pero ya vemos que llama a este supuesto troyano, que por lo visto aun no controlamos con el ELISTARA:



Detectado F:\Autorun.inf

OPEN=I.CMD



En cuanto lo recibamos, lo analizaremos, e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



saludos



ms, 19-5-2009

[Renata]

[quote="msc hotline sat"]Lo que necesitamos que nos envies es el I.CMD que te pediamos, si no puedes enviar ademas elñ AUTORUN, es una pena, pero ya vemos que llama a este supuesto troyano, que por lo visto aun no controlamos con el ELISTARA:



Detectado F:\Autorun.inf

OPEN=I.CMD



En cuanto lo recibamos, lo analizaremos, e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



saludos



ms, 19-5-2009[/quote]



Envio a muestras el autorun que encontré en F: hay otro autorun pero no se deja pasar a .rar ni .zip los dos están en la pendrive.



Gracias.

[msc hotline sat]

Y no te olvides de enviarnos tambien el F:\I.CMD , es el mas importante !!!



saludos



ms, 19-5-2009

[Renata]

[quote="Renata"][quote="msc hotline sat"]Lo que necesitamos que nos envies es el I.CMD que te pediamos, si no puedes enviar ademas elñ AUTORUN, es una pena, pero ya vemos que llama a este supuesto troyano, que por lo visto aun no controlamos con el ELISTARA:



Detectado F:\Autorun.inf

OPEN=I.CMD



En cuanto lo recibamos, lo analizaremos, e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



saludos



ms, 19-5-2009[/quote]



Envio a muestras el autorun que encontré en F: hay otro autorun pero no se deja pasar a .rar ni .zip los dos están en la pendrive.



Gracias.[/quote]



Buenos días, por fin logré enviar ese autorun a muestras:

va como: Autorun.inf.zip



Espero haberlo hecho bien



Gracias

Renata

[msc hotline sat]

No me hablas del I.CMD ... es que no comprendes lo que te digo ???



El I.CMD es un fichero, seguramente oculto, que tienes en el directorio principal de F: , donde tenías este AUTORUN.INF, y es el que contiene propiamente el bicho, pues el AUTORUN solo manda su ejecucion.



saludos



ms, 19.-5-2009

[msc hotline sat]

Renata, hemos recibido el AUTORUN pero no el I.CMD



Si no lo puedes enviar, como que el AUTORUN ha sido renombrado a .OLD, estará inoperativo en este CDROM, asi que nos molvidaremos de él.



Lo malo es que posiblemente el pendrive lo habrá infectado algun ordenador y que, al no estar controlado, puede estar infectando... no a los pendrives que tengas vacunados, pero no deja de ser peligroso y molesto, especialmente por la ralentizacion que ocasiona, por ello te lo pediamos para controlar, pero si no puedes hacerlo, cerraremos el Tema y esperaremos que llegue por otro lado.



saludos



ms, 19-5-2009

[Renata]

[quote="msc hotline sat"]Renata, hemos recibido el AUTORUN pero no el I.CMD



Si no lo puedes enviar, como que el AUTORUN ha sido renombrado a .OLD, estará inoperativo en este CDROM, asi que nos molvidaremos de él.



Lo malo es que posiblemente el pendrive lo habrá infectado algun ordenador y que, al no estar controlado, puede estar infectando... no a los pendrives que tengas vacunados, pero no deja de ser peligroso y molesto, especialmente por la ralentizacion que ocasiona, por ello te lo pediamos para controlar, pero si no puedes hacerlo, cerraremos el Tema y esperaremos que llegue por otro lado.



saludos



ms, 19-5-2009[/quote]



Mmm, no, no entendía lo del I.CMD, por favor no cierres el tema, me interesa soluccionar esté problema.



Dame tiempo para buscar con calma, regreso más tarde ya sea para enviarlo o para decirte que a causa de desconocer términos y manejo de estos sistemas avanzados no logré encontrarlo, pero por favor no lo cierrres todavía.



Gracias.



Renata.

[msc hotline sat]

El I.CMD es un fichero que ejecutaba el AUTORUN.INF



Ahora ya no está en uso dicho AUTORUN, pero el fichero que lanza no lo hemos controlado al no sernos enviado.



Si lo encuentras y nos lo envias, lo analizaremos y controlaremos



Recuerda que acostumbran a estar ocultos y con atributos de sistema. El mejor modo de moverlos es con el ELIMOVER.



saludos



ms, 19-5-2009

[Renata]

[quote="msc hotline sat"]El I.CMD es un fichero que ejecutaba el AUTORUN.INF



Ahora ya no está en uso dicho AUTORUN, pero el fichero que lanza no lo hemos controlado al no sernos enviado.



Si lo encuentras y nos lo envias, lo analizaremos y controlaremos



Recuerda que acostumbran a estar ocultos y con atributos de sistema. El mejor modo de moverlos es con el ELIMOVER.



saludos



ms, 19-5-2009[/quote]



Buenas tardes, encontré esta información dacá mismo en Zona virus, http://www.zonavirus.com/descargas/elimover.asp

instalé el Elimover, lo pasé a mis tres pendrive, igual a mi pc, no me envió nada a MUESTRAS, me siento impotente ante esto, no se que más hacer.



Es de mi interés que ustedes analicen este fichero pero no se como encontrarlo fuera de eso.



Gracias.



Renata.

[msc hotline sat]

Pues muy acertada en lo del ELIMOVER, es justo lo que le hubiera facilitado las cosas si aun tuviera dicho fiuchero, pero por lo que vemos quizas lo eliminó algun antivirus o utilidades, y se olvidó del resto (AUTORUN.INF) que ahora nos ha peocupado



Sobre todo mira en los pendrives. cambiando de pendrive cada vez, y lanzando la busqueda en la unidad donde lo coloques X:\I.CMD



Posiblemente fuera otra variante de ONLINE GAMES, de los que tanto abundan, pero igual ya no lo tienes ???



Pues lo dejamos asi, o si lo prefieres, lanza este AV ONLINE y posteanos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludos



ms, 20-5-2009

[msc hotline sat]

No habiendo encontrado Tema abierto mas reciente de esta usuaria, se informa aqui que se han recibido muestras que pasamos a controlar como variantes del ONLINE GAMES ya controlada.



Descargue la version actual del ELISTARA para eliminarlo.




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

Y recuerde:



https://foros.zonavirus.com/viewtopic.php?f=5&t=27602



saludos



ms, 21-9-2009