Maquina con supuesto Virus Win32/Agent.AGH (SOLUCIONADO)

[thefla]

Mi maquina una vez aparecio carpetas duplicadas pero con extension exe y cada vez k inserto una USB el contendio de la USB pasa lo mismo crea carpetas con extension exe y las carpetas originales estan ocultas y con atributos de solo lectura. Al principio el NOD lo detectaba al insertar las USB pero no las podia eliminar solo las ponia en cuarentena y daba un mensaje de win32/Agent.AGH , eliminaba o formateaba las USB y protegiendolas creyendo k estaban infectada, pero me he dado cuenta k cada USB k inserto me sale lo mismo. entonces le pase el ELISTARA a mi equipo y me hayo 2 troyanos en memoria y los elimino y me mando a enviar muestras k ya las envie. Lo raro es que en la carpetas con extension exe por mas k le paso el elistara y el NOD no las logra eliminar ni las carpetas ocultadas restaurar... saben como hacerle frente a este virus. gracias .. adjunto lo que hizo el infosat



(22-5-2009 16:20:10)

EliStartPage v18.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\IEXPLORER.EXE.Muestra EliStartPage v18.63

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IEXPLORER.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WUAUC1T.EXE.Muestra EliStartPage v18.63

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WUAUC1T.EXE --> Eliminado

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(22-5-2009 16:20:28)

EliStartPage v18.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5338

Nº Total de Ficheros: 63504

Nº de Ficheros Analizados: 15082

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(22-5-2009 16:25:51)

EliStartPage v18.63 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

D:\drivers\PORTATIL\audio-Realtek ALC662 Intel 82801High Definition\driver\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 9429

Nº Total de Ficheros: 126060

Nº de Ficheros Analizados: 26232

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



p.d. adjunto muestras de archivos

[msc hotline sat]

Pues ya ves:



[b][i]Por favor, envienos una muestra del fichero

C:\Muestras\IEXPLORER.EXE.Muestra EliStartPage v18.63



Por favor, envienos una muestra del fichero

C:\Muestras\WUAUC1T.EXE.Muestra EliStartPage v18.63[/i][/b]





y lanza un windowsupdate :



[b][i]No detectado SP3 de Windows XP[/i][/b]







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 22-5-2009

[thefla]

Las Muestras de los 2 archivos mencionados ya las envie, usando la parte de arriba la opcion ENVIO de MUESTRAS. Espero respuesta de como reestablecer las carpetas. Mientras lanzare un Windows Update. Saludos

[msc hotline sat]

Bien, pues el lunes, cuando volvamos al trabajo en SATINFO, las analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



Mientras, como que ya las hemos quitado de circulacion:



C:\WINDOWS\SYSTEM32\IEXPLORER.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\WUAUC1T.EXE --> Eliminado



dejando tan solo una muestra en c:\muestras, que las nuevas versiones de utilidades deberán detectar y eliminar (no haga nada con ellas, es la comprobacion de que funciona bien la utilidad que hagamos), por lo que elm problema está "aparcado" y espero que pueda trabajar sin problemas.



saludos



ms, 23-5-2009

[thefla]

El problema con la PC talvez no pero las carpetas con extension exe no las detecta el NOD y sus originales carpetas con atributos de oculto y lectura no se restablecen y otra que cada vez k meto una USB me sale la alerta de poner en cuarentena a dicho archivo.. y al ver su contenido pasa lo mismo k ala pc oculta las carpetas y las renombra con exe.. ademas copia el iexplorer oculto en la respectiva unidad..todo esto como lo mencione en el primer post . Espero que para el lunes puedan tener la solucion para restablecer las carpetas afectadas por dicho virus. y otra he visto que al hacer un windows update hay una actualizacion de netframewor 3.5 k pesa como 300 mb.. es necesaria esa actualizacion, porke me tardaria horas ??? Gracias.

[msc hotline sat]

Antes que nada... ¿Tiene vacunados los ordenadores y pendrives con el ELIPEN??? SINO, HAGALO ! :





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



y solo instale los parches críticos, con actualización rápida.



saludos



ms, 23-5-2009

[thefla]

Las unidades de mi PC si estan vacunas con el ELIPEN la ultima version y los USB tambien..si no hasta la carpeta autorun lo oculta y lo convierte en extension exe. Bueno esperamos resultados de la muestra para posibles usbs que vengas con ese virus y como removerlos porke hasta los documentos los renombra con ese . Windows Update actualizado al 100%.

[msc hotline sat]

eSPERO QUE EL LUNES RECIBIREMOS LAS MUESTRAS SOLICITADAS, Y PROCEDEREMOS A ELLO.



SALUDOS



MS, 23-5-2009

[msc hotline sat]

Recibidas las muestras, son downloaders que se implementan en el ELISTARA de hoy 18.68:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 25-5-2009







NOTA: Tienen propagacion por pendrive y modificacion de una clave atipica del SafeBoot, lo cual tambien pasamos a controlar. MS.

[thefla]

Lo pondre en marcha y de ahi procedere alos respectivos resportes. Saludos

[msc hotline sat]

Bien, ya estoy en línea, me complacerá ver dicho informe para dar por solucionado el Tema.



A título de comentario, nos sorprendió el método de impedir el arranque en modo seguro, ni el bagle no los Agent ABUE habian llegado tan lejos...



Igualmente implementamos la restauracion de dicha clave en el ELIBAGLA, por si habiendo aparcado o eliminado los ficheros, persiste el no poder arrancar en modo seguro, y se piensa en él, al menos así se restaurará dicha clave, y permitirá arrancar en dicho modo.



Toda una novedad, si señor !



saludos



ms, 26-5-2009

[thefla]

Bueno aqui esta el reporte infosat.... hijole los virus que encontro camuflados.





(27-5-2009 00:54:24)

EliStartPage v18.69 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Eliminados Ficheros Temporales del IE



(27-5-2009 00:54:53)

EliStartPage v18.69 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\IEXPLORER.EXE.MUESTRA ELISTARTPAGE V18.37 --> Eliminado, DownLoader.FN

C:\Muestras\IEXPLORER.EXE.MUESTRA ELISTARTPAGE V18.47 --> Eliminado, DownLoader.FN

C:\Muestras\IEXPLORER.EXE.MUESTRA ELISTARTPAGE V18.63 --> Eliminado, DownLoader.FN

C:\Muestras\WUAUC1T.EXE.MUESTRA ELISTARTPAGE V18.37 --> Eliminado, DownLoader.FN

C:\Muestras\WUAUC1T.EXE.MUESTRA ELISTARTPAGE V18.47 --> Eliminado, DownLoader.FN

C:\Muestras\WUAUC1T.EXE.MUESTRA ELISTARTPAGE V18.63 --> Eliminado, DownLoader.FN

C:\WINDOWS\system32\431EF9\CNVPE.FNE --> Eliminado, Trojan.Peed



Nº Total de Directorios: 5507

Nº Total de Ficheros: 66012

Nº de Ficheros Analizados: 15746

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7



(27-5-2009 01:15:43)

EliStartPage v18.69 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 9562

Nº Total de Ficheros: 130529

Nº de Ficheros Analizados: 26325

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(27-5-2009 01:36:09)

EliStartPage v18.69 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 46

Nº Total de Ficheros: 391

Nº de Ficheros Analizados: 69

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(27-5-2009 01:36:15)

EliStartPage v18.69 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 41

Nº Total de Ficheros: 248

Nº de Ficheros Analizados: 79

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Espero que este bicho sea la causa de por la cual cada vez k meto una USB me salga el mensaje de virus y oajala estirpado al fin de esta maquina y no siga infectando mas USB ,me refiero a esta linea C:\WINDOWS\system32\431EF9\CNVPE.FNE --> Eliminado, Trojan.Peed . estoy en espera de sus comentarios Muchachos

[msc hotline sat]

Bien, pues buena limpieza ha hecho con el ELISTARA.



Complementelo con el ELIPEN:







vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





Y si tras reiniciar indiquenos si ya no persiste ninguna anomalia, y podemos dar por solucionado el Tema, gracias



saludos



ms, 27-5-2009

[thefla]

Ok lo hare enseguida...aunke mis unidades ya estan protegidas con el autorun.inf en carpeta incluso mi pendrive...... lo que me parece raro es k este como carpeta oculta. EN fin lo hare nuevamente talves la version del elipen es mejor... ya que al tener mi USB con la carpeta autorun.inf oculta ..es facil k se quiera colar por ahi el bicho. Lo que no me dijeron si lo que mencione en el post anterior era la causa de que la maquina infectara las USB. gracias y estare con los reportes.

[msc hotline sat]

Preferimos no ocultar la carpeta AUTORUN.INF de proteccion, para asi poder ver a simple vista su presencia.



Y la protegemos suficientemente como para que no la pueda borrar cualquier virus de dicho tipo.



Y con todo lo indicado, y no indicando haber detectado anomalias, damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas e nuevo, ya sabes donde estamos





saludos



ms, 27-5-2009