virus LpezObradr.exe(SOLUCIONADO)

[mrculebro]

saludos he contraido este virus o lo que sea y es muy latoso por que me cierra el explorer y todas sus funciones cada cierto tiempo si lo dejo satura mi memoria y ya no puedo hacer nada mas que reiniciar.



tengo w2k ya probe los antivirus on line de la paguina solo hauri lo detecto pero no lo quito.



el avast lo detecta pero se queda trabado al leerlo. Pero me di cuenta que se localiza en:



c:recycler\s-1-5-21-7558934410-0712098074-209020886-5568\LpezObradr.exe



entro a una ventana de DOS desde w2k pero no lo encuentra, lo mismo me pasa si entro a modo de falla.



Saludos ojala me puedan ayudar. BYE.

[msc hotline sat]

Descarga el ELIMOVER y le entras la ruta y fichero en cuestion, y lo copias a C:\muestras, desde donde podrás enviarnoslo facilmente para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 20-7-2009







NOTA: Para el ELIMOVER:





DESCARGA DE ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



Y marca la casilla inferior izquierda para que añada .VIR a dicho fichero donde esté, y asi no se pondrá en uso a partir del proximo reinicio.

[msc hotline sat]

Y como que esconder estos troyanos en este tipo de carpetas, es propio de los virus de pendrive...:







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 20-7-2009

[flacoroo]

como se encuentra en c:recycler\s-1-5-21-7558934410-0712098074-209020886-5568\LpezObradr.exe, debes actualizar tu antivirrus, deshabilitar la opcion Restaurar sistema y entra en modo seguro o a prueba de fallos y ejecutar tu antivirus, de esa manera se eliminara y claro no esta no se te olvide bajar y ejecutar estas estas herramientas:



url=http://www.zonavirus.com/descargas/elistara.asp] Descargar ElistAra [/url]

[url=http://www.zonavirus.com/descargas/elinotifdll.asp]Descargar Elinotif[/url] (complemento de ElistAra deben estar en el mismo lugar)

[msc hotline sat]

flacoroo, te cuento:



para los que estan en el RESTORE, o sea SYSTEM VOLUME INFORMATION_RESTORE es tal como dices, pero los del RECYCLER es una papelera en la que copian los ficheros (no los borran y van a parar alli, sino que los copian) de forma que desde windows no pueden verse, pero si ejecutarse si sabes donde estan , por ejemplo con un AUTORUN.INF, tipico de los virus de pendrive.



Por eso usamos el ELIMOVER, que accede a dichas rutas de RECYCLER\S-.... \*.EXE y los copia a C:\muestras, pero ya sin atributos para que puedan ser enviados facilmente.



saludos



ms, 20-7-2009

[msc hotline sat]

sOBRE:



c:\recycler\S-1-5-21-5126570489-8389917930-492976042-1934\lpzobradr.exe







mas informacion en:



http://www.prevx.com/filenames/2650961204355510556-X1/LPEZOBRADR.EXE.html



http://www.prevx.com/filenames/X154223971307668655-X1/FLASH-INSTALLER-WINDOWS.EXE.html



y tambien :



Type



* Trojan





Affected operating systems Windows

Characteristics



* Drops more malware





Troj/Bifrose-XT is a Trojan for the Windows platform.



When run Troj/Bifrose-XT creates the file :



<RECYCLER>\S-1-5-21-2425160163-2881279562-729539415-8851\LpezObradr.exe



This file is detected as W32/Autorun-AIC.









SALUDOS



MS, 20-7-2009

[msc hotline sat]

Recibidas las muestras, vemos que este LpezObrador se trata de una variante de Palevo, de las que se propaga por pendrive



Una vez hecho lo que ya te habiamos indicado del ELIPEN, prueba el ELIPALEVO:



ELIPALEVO.EXE

http://www.zonavirus.com/descargas/elipalevo.asp





Y el otro resulta ser un MyWebSearc ya controlado. Con el ELISTARA lo eliminaras:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 21-7-2009

[mrculebro]

LIsto al parecer ya quedo gracias... si se requiere mas informacion estare pendiente... bye



(26-4-2009 17:35:13)

EliStartPage v18.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\WINNT\TEMP\QRUP1.EXE

a "virus@satinfo.es". Gracias.

C:\WINNT\WEB\RELATED.HTM --> Eliminado

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3CJPEG.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3HTMLMU.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3POPSWT.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3PSSAVR.SCR --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3REPROX.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3RESTUB.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3SCRCTR.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3WPHOOK.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3HTML.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3OUTLCN.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3SKIN.DLL --> Eliminado MyWebSearch



(21-7-2009 01:24:44)

EliMover v1.1 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "c:\recycler\s-1-5-21-7558934410-0712098074-209020886-5568\LpezObradr.exe" -> Copiado a "C:\Muestras"

Fichero: "c:\recycler\s-1-5-21-7558934410-0712098074-209020886-5568\LpezObradr.exe" -> Copiado a "C:\Muestras"



(21-7-2009 02:19:43)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad D:\ Protegida



Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger



Unidad F:\ Protegida



(21-7-2009 2:24:56 (GMT))

EliStartPage v19.06 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(21-7-2009 2:29:02 (GMT))

EliStartPage v19.06 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\MSN Messenger\RICHED20.DLL --> Eliminado, MyWebSearch

C:\Muestras\M3SRCHMN.EXE.MUESTRA ELISTARTPAGE V18.48 --> Eliminado, MyWebSearch

C:\WINNT\Downloaded Program Files\F3INITIALSETUP1.0.1.0.INF --> Eliminado, MyWebSearch(inf)



Nº Total de Directorios: 1571

Nº Total de Ficheros: 19197

Nº de Ficheros Analizados: 8282

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



(21-7-2009 2:38:08 (GMT))

EliStartPage v19.06 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 163

Nº Total de Ficheros: 7872

Nº de Ficheros Analizados: 184

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 2:38:34 (GMT))

EliStartPage v19.06 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 321

Nº Total de Ficheros: 1565

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 2:48:55 (GMT))

EliStartPage v19.06 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(21-7-2009 13:07:46) (GMT)

EliPalevo v1.5 (c)2009 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave [HKLM\...\Winlogon] "Taskman"="C:\RECYCLER\S-1-5-21-7558934410-0712098074-209020886-5568\LPEZOBRADR.EXE"

C:\RECYCLER\S-1-5-21-7558934410-0712098074-209020886-5568\LPEZOBRADR.EXE --> P2P-Worm.Palevo(lpezobradr) Acceso Denegado.

Reinicie para Completar la Limpieza.



(21-7-2009 13:08:13) (GMT)

EliPalevo v1.5 (c)2009 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\RECYCLER\S-1-5-21-7558934410-0712098074-209020886-5568\LpezObradr.exe --> Acceso Denegado, P2P-Worm.Palevo(lpezobradr) (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 1583

Nº Total de Ficheros: 19582

Nº de Ficheros Analizados: 2181

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



(21-7-2009 13:10:20) (GMT)

EliPalevo v1.5 (c)2009 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 163

Nº Total de Ficheros: 7873

Nº de Ficheros Analizados: 24

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 13:10:32) (GMT)

EliPalevo v1.5 (c)2009 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 321

Nº Total de Ficheros: 1565

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 13:12:40) (GMT)

EliPalevo v1.5 (c)2009 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave [HKLM\...\Winlogon] "Taskman"="C:\RECYCLER\S-1-5-21-7558934410-0712098074-209020886-5568\LPEZOBRADR.EXE"

C:\RECYCLER\S-1-5-21-7558934410-0712098074-209020886-5568\LPEZOBRADR.EXE.VIR --> Eliminado.

C:\RECYCLER\S-1-5-21-7558934410-0712098074-209020886-5568\LPEZOBRADR.EXE --> Eliminado



(21-7-2009 13:12:54) (GMT)

EliPalevo v1.5 (c)2009 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1583

Nº Total de Ficheros: 19586

Nº de Ficheros Analizados: 2180

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 13:15:01) (GMT)

EliPalevo v1.5 (c)2009 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 163

Nº Total de Ficheros: 7873

Nº de Ficheros Analizados: 24

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 13:15:13) (GMT)

EliPalevo v1.5 (c)2009 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 163

Nº Total de Ficheros: 7873

Nº de Ficheros Analizados: 24

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 13:15:22) (GMT)

EliPalevo v1.5 (c)2009 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 321

Nº Total de Ficheros: 1565

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 13:18:56 (GMT))

EliStartPage v19.06 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(21-7-2009 13:19:03 (GMT))

EliStartPage v19.06 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1573

Nº Total de Ficheros: 19197

Nº de Ficheros Analizados: 8280

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 13:22:09 (GMT))

EliStartPage v19.06 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 163

Nº Total de Ficheros: 7873

Nº de Ficheros Analizados: 186

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(21-7-2009 13:22:20 (GMT))

EliStartPage v19.06 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 321

Nº Total de Ficheros: 1565

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Muy bien :



EliPalevo v1.5 (c)2009 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave [HKLM\...\Winlogon] "Taskman"="C:\RECYCLER\S-1-5-21-7558934410-0712098074-209020886-5568\LPEZOBRADR.EXE"

C:\RECYCLER\S-1-5-21-7558934410-0712098074-209020886-5568\LPEZOBRADR.EXE.VIR --> Eliminado.

C:\RECYCLER\S-1-5-21-7558934410-0712098074-209020886-5568\LPEZOBRADR.EXE --> Eliminado



pues controlado y eliminada esta nueva variante.



Ahora reinicie y diganos si persiste alguna anomalia o podemos dar por solucionado el Tema, gracias



saludos



ms, 21-7-2009

[mrculebro]

ya todo bien gracias saludos...

[msc hotline sat]

Pues dando por solucionado el problema, procedemos a cerrar el Tema



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 24-7-2009