Desocultar archivos del USB

[o0gian0o@gmail.com]

Estimados, tengo un raro problema resulta que tengo un virus o no se en mi usb de 8gb que ha ocultado todos mis archivos sin ecepcion todo empezo desde que ejecutaba aparentemente mis carpetas cuando en realidad eran ejecutables, busque por toda la red herramientas para solucionar este problema pero hasta el momento no he podido hacerlo y recurro a ustedes los expertos en stos temas que pasos habria que seguir o que solucion aplicar



MSC Hotline SAT me recomendo usar el Elistara para crear un log y pegarlo aqui pero mencinarles tambien que use el Elipen y al parecer el Elistara no ha podido ingresar totalmente a la memoria pero aki os dejo el log:





(23-7-2009 22:22:26)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



(30-7-2009 15:34:13 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (V)

open=RECYCLERBIN\autorun32.exe

Por favor envienos el Ejecutable (copiado en C:\Muestras)

acompañado del AUTORUN.INF a "virus@satinfo.es". Gracias.



(30-7-2009 15:34:57 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 3

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(30-7-2009 15:35:17 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 3

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(30-7-2009 15:35:34 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 3

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(30-7-2009 15:35:36 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 3

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(30-7-2009 16:40:23 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Detectado AUTORUN.INF en la Unidad (U)

oPen= iudy.pif

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (V)

open=RECYCLERBIN\autorun32.exe

Por favor envienos el Ejecutable (copiado en C:\Muestras)

acompañado del AUTORUN.INF a "virus@satinfo.es". Gracias.



(30-7-2009 16:40:34 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 3

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



de antemano les estoy muy agradecido!!!!



Giancarlo





PD: intente cambiar mi nombre de usuario pero no se como cambiarlo

[msc hotline sat]

Pues ahi tienes dos marranos:



Detectado AUTORUN.INF en la Unidad (V)

open=RECYCLERBIN\autorun32.exe

Por favor envienos el Ejecutable (copiado en C:\Muestras)



Detectado AUTORUN.INF en la Unidad (U)

oPen= iudy.pif

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (V)

open=RECYCLERBIN\autorun32.exe

Por favor envienos el Ejecutable (copiado en C:\Muestras)



Seguramente estaban en dos pendrives...



Envianos las muestras solicitadas para analizar y controlar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms,31-7-2009

[o0gian0o@gmail.com]

msc hotline sat, quizas no sea malo volver a mencionar que antes de usar el Elistara use el Elipen el cual me protegio la unidad F (disco xtraible)que es el usb de 8gb y me parece que no permite ningun tipo de analisis incluso del mismo Elistara derrepente no te pueda llegar una lectura del problema en el archivo .vir que crea el Elistara. ojala no me ekivoke :P



(23-7-2009 22:22:26)

EliPen v1.9 (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



(30-7-2009 15:34:13 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

[lucl]

Si enviaste esto





Por favor envienos el Ejecutable (copiado en C:\Muestras)

acompañado del AUTORUN.INF a "virus@satinfo.es". Gracias.



dado que han pasado varios dias desde entonces descarga de nuevo elistara que esta actualizado al 31 de julio y peganos el log infosat de nuevo gracias.



http://www.zonavirus.com/descargas/elistara.asp





saludos

[o0gian0o@gmail.com]

lucl, acabo de subir el archivos de muestras a virus@satinfo.es.



Gracias!

[o0gian0o@gmail.com]

Estimados alguna noticia con este tema??? :(:( buuuu ayudaaaaaaaa!!!!



el ultimo log:





Nº Total de Directorios: 3

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-8-2009 21:37:55 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(3-8-2009 21:38:29 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 3

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-8-2009 21:39:10 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(3-8-2009 21:41:09 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(3-8-2009 21:41:26 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\mcustodio\Escritorio\Final Data 20\AUTORUN.INF --> Eliminado, AutoRun.AAJ(inf)

C:\UBCD4Win\oem1\PEUtils\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 6707

Nº Total de Ficheros: 75250

Nº de Ficheros Analizados: 24526

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(3-8-2009 22:00:29 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 3

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-8-2009 22:01:10 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 3

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-8-2009 22:01:35 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 1864

Nº Total de Ficheros: 17880

Nº de Ficheros Analizados: 469

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-8-2009 22:14:34 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 1864

Nº Total de Ficheros: 17880

Nº de Ficheros Analizados: 469

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Veras pues resulta que ahora estan los tecnicos de vacaciones, mira de añadir extension .vir a los archivos que nos enviaste para que no incordien mientras llegan y te dan las herramientas necesarias saludos.

[o0gian0o@gmail.com]

Msc hotline sat, lucl.



Tal como indicaron he subido los archivos de c:/muestras comprimido y con el psw virus, pero en esas muestras solo hay posibles virus identificados en mis otras unidades locales y no en mi disco xtraible o usb 8gb hay no registra nada de nada , humildemente creo que primero deberiamos empezar en eliminar el archivo creado por Elipen (autorun) de mi usb y con eso quizas podriamos obtener una mejor lectura de la situacion por parte del Elistara y llegar a lo que se kiere sobre k tipo de virus se trata!!!



Por favor pido su ayuda lo mas pronto amigos



Gracias,

Gian

[msc hotline sat]

A ver, que a veces los arboles no dejan ver el bosque...



El virus lo tiene en unidades U y V, como ya le deciamos, y lo que nos tiene que enviar son los ficheros de dcihas unidades, posiblemente dos pendrives distintos:



(30-7-2009 15:34:13 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (V)

open=RECYCLERBIN\autorun32.exe

Por favor envienos el Ejecutable (copiado en C:\Muestras)

acompañado del AUTORUN.INF a "virus@satinfo.es". Gracias.







(30-7-2009 16:40:23 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Detectado AUTORUN.INF en la Unidad (U)

oPen= iudy.pif

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (V)

open=RECYCLERBIN\autorun32.exe

Por favor envienos el Ejecutable (copiado en C:\Muestras)

acompañado del AUTORUN.INF a "virus@satinfo.es". Gracias.





Sobre lo que indica de la unidad F:, el ELIPEN no crea ningun fichero AUTORUN sino una carpeta para que no se pueda crear ningun fichero con dicho nombre, que es lo que hacen los virus de este tipo.



Una vez nos haya enviado los dos ficheros indicados, iudy.pif y autorun32.exe los analizaremos y veremos si entre sus payloads se encuentra alguna malicia de ocultacion o eliminacion de archivos, para, en funcion del caso, poder proceder a su recuperacion o saber lo que hace al caso.



Si los ficheros que dice habernos enviado son justamente estos dos, los veremos el proximo lunes 24, (dentro de 4 dias), cuando volvamos al trabajo en SATINFO, ya que hasta entonces dicha empresa está cerrada por vacaciones.



saludos



ms, 20-8-2009