Virus, Virus, Virus :( (SOLUCIONADO)

[freddyj]

hola amigos que tal, mire les comento mi problema:

cuando conecto una memoria usb, pendrive, mp3, etc, las carpetas que estan dentro de ese dispositivo se ponen ocultas y se crean ejecutables con el mismo nombre de la carpeta y el mismo icono de carpeta, que al abrirlos abren una nueva ventana con el contenio de la carpeta.

ya le he pasado el avgfree 8.5 el elistara y superantispywareprofesional y nada de nada que me detctan algo, tambien se crean una carpeta recycler en el dispositivo, y tambien un autorun.

Espero xfavor me puedan ayudar con mi problema, ah y el dispositivo no se puede formatear xq dice que una aplicacion lo esta usando, yo uso el unlocker y lo desbloqueo y me dice que el proceso explorer.exe es el que lo esta usando, lo desbloqueo y puedo formatear pero al volver a poner carpetas, pues vuelve a ocurrir lo mismo,

de antemano le agradezco su ayuda

[lucl]

Descargate elipen y pasalo en tu pc y pendrives





http://www.zonavirus.com/descargas/elipen.asp





Luego vuelve a pasar elistara y peganos el log de infosat.txt completo que tendras en C saludos.







http://www.zonavirus.com/descargas/elistara.asp

[freddyj]

ya le pase el elipen y protegi todas las unidades, memorias y disco.

Ah y volvi a pasar el elistara



(19-10-2009 20:29:37 (GMT))

EliStartPage v19.47 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\CMDOW.EXE --> Infectado, Tool-HideWindow

C:\WINDOWS\system32\20E8B0\REGEX.FNR --> Eliminado, AutoRun.EV(comp)



Nº Total de Directorios: 2829

Nº Total de Ficheros: 22866

Nº de Ficheros Analizados: 8079

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 1



aqui notaran que el CMDOW.exe no lo elimine es que tengo un so desatendido y ese programa no es virus, eso he leido en otros foros referente a ese archivo, por eso. (el desatendido en windows wolf porsia)



ah una duda en el msconfig tengo unos procesos medios raros que no se de que seran y en el menu inicio en INICIO hay una aplicacion que se ejecuta

son

Monitor.exe (C:\WINDOWS\PixArt\PAC207\Monitor.exe)

C5E8B3.exe (C:\WINDOWS\system32\593384\C5E8B3.EXE)



ambos estan repetidos 2 veces en el msconfig



el monitor.exe lo he borrado, pero al reiniciar viuelven a estar esas entradas y al otro aun no le he hecho nada, y tampoco han sido detectados como virus¿¿¿??

[freddyj]

ah otra cosa desinfecte el pen con el Elipen,

con el primero tuve exito

con otro me salio Error leyendo N:\autorun.inf

abri el pen y el autorun si esta alli, y al querer abrirlo manualmente con el bloc de notas me sale

Error cargando N:\autorun.inf

asegurate que el archivo no esta bloqueado por otra aplicacion.

imagino que se bloqueo al conectarlo y se ejecuto el autorun, volvere a probar y os comento

[freddyj]

listo primero tuve que usar el unlocker para poder usar el elipen, y ya bloqueo el autorun y esto contenia

[AuToRuN]

ShElL\OpEn=Open

ShElL\OpEn\CoMmAnD=ReCyCleR\sEtuP.exe

OPeN=ReCyCleR\sEtUp.exe

IcOn=%WiNDiR%\SySTeM32\sHELl32.dLl,7

AcTiOn=Open USB

[msc hotline sat]

Pues envienos estos ficheros que dice:



Monitor.exe (C:\WINDOWS\PixArt\PAC207\Monitor.exe)

C5E8B3.exe (C:\WINDOWS\system32\593384\C5E8B3.EXE)



asi como este que indica el AUTORUN.INF:



ReCyCleR\sEtUp.exe



para lo que quizas necesitará el ELIMOVER:



ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp





y pulsar sobre la casilla inferior izquierda para añadir .VIR al fichero original, ya que se

trata de un malware



y vea si este CMDOW aun lo tiene:



C:\WINDOWS\system32\CMDOW.EXE --> Infectado, Tool-HideWindow



y si es así. añadale .VIR a su extension.



Y tras reiniciar , envienos los ficheros para analizar y nos comenta el resultado, gracias





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 20-10-2009

[freddyj]

ya le envie el fichero "muestras" para que lo analizen y segui las recomendaciones suyas, pero sigue lo mismo. por cierto el archivo setup que estaba en la carpeta recycler ya no esta en ningun lado. ah y como dato adicional el virus hace lo mismo con su carpeta que se crea despues de usar el elipen osea Autorun.inf la pone como oculta y crea un exe con ese mismo nombre en el pen :cry: :cry:

[msc hotline sat]

He revisado las muestras recibidas de zonavirus, de ayer y hoy , y no aparece ninguna carpeta con su nick, asi que igual ham sido interceptadas ... Recuerde:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





y sobre lo que indica de que [b][i]"como dato adicional el virus hace lo mismo con su carpeta que se crea despues de usar el elipen osea Autorun.inf la pone como oculta y crea un exe con ese mismo nombre en el pen"[/i][/b] , eso sí que no se ha visto hasta el momento... pero al final comentamos dicha posibilidad.



Nos dice que la carpeta AUTORUN.INF está oculta ??? y que hay dentro ???



y si crea un fichero AUTORUN.EXE en el pendrive, envienoslo para analizar , tal como decimos arriba.





[b][i]Y esto de que algo oculta la carpeta de proteccion del ELIPEN, pensamos que uno de estos virus, que no puede crear el AUTORUN.INF por estar ocupado dicho nombre por la carpeta, luego intenta ocultar dicho fichero, con un ATTRIB +H y lo que logra, al no haber el fichero, es ocultar la carpeta ! :) En cualquier caso no habrá podido hacer del pendrive un propagador, al faltar dicho fichero.[/i][/b]



Pero conviene que nos envie dicho AUTORUN.EXE para implementar su control y eliminacion de todas las unidades, en la siguiente version desde que lo recibamos



saludos



ms, 20-10-2009

[freddyj]

ahora creo que si lo envie bien, con la contraseña "virus" (sin las comillas)

dentro de la carpeta autorun.inf hay esto



AUX.ELIPEN-SATINFO (es una carpeta y esta vacia)

AUX.W98 (es una carpeta y esta vacia)

Test2.Sat



en el fichero muestras envie el ejecutable que se creo autorun.inf.exe, con el elimover y los otros ficheros que me pedio para revisar.

gracias x su tiempo y dedicación :wink: :D

[msc hotline sat]

Pues en un par de horas, cuando entremos a trabajar en SATINFO, espero que los encontraremos y podremos analizarlos, tras lo cual informaremos



saludos



ms, 21-10-2009

[msc hotline sat]

Efectivamente, recibimos tres ficheros iguales (con distinto nombrte, claro) que es un malware que se propaga por pendrive, el cual pasamos a controlar con el ELISTARA de hoy 19.51



Aparte, como que este bicho se propaga por unidades USB, vacuna tu ordenador y pendrives con el ELIPEN:





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



y el CMDOWN.EXE ya está controlado por el actual ELISTARA.



saludos



ms, 21-10-2009









NOTA: La nueva version del ELISTARA 19.51 podrás descargarla a partir de las 19 h:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

ms.

[freddyj]

ok esperare a que salga la 19.51 para probar y os comento.

Una duda adicional

al querer extraer el pendrive desde "quitar hardware con seguridad" me sales este mensaje "no se puede detener el dispositivo volumen generico en este momento. intente detener el dispositivo mas tarde"



reviso con el unlocker y me dice que autorun.inf es el que lo esta bloqueando, pero ese archivo corresponde al que se creo con el elipen, es normal que eso pase?? xq tengo que usar el unlocker primero para poder extraer el pen

ah les adjunto una imagen de mi pen para que se den cuenta como creo las carpetas ejecutables y me oculto las que si son



[img]http://i37.tinypic.com/72vh1w.jpg[/img]

[msc hotline sat]

El ELIPEN no creó ningun fichero sino una carpeta para impedir que se cree dicho fichero. Simplemente para sacarlo con seguridad, hacerlo con el ordenador apagado, si no lo permite con el ordenador encendido.



Segun la tecnología del pendrive es necesario hacerlo con el ordenador apagado, con o sin virus :) !



Y dejate de unlockers, y sigue nuestras indicaciones si quieres que te sigamos ayudando.



Y a partir de las 19 h, descarga el nuevo ELISTARA y pruebalo, y nos posteas el informe resultante.



saludos



ms, 21-10-2009

[freddyj]

Hola amigos, acabo de pasar la ultima version de elistara y reinicie la pc y estos son los resultados

Pues parece ser que esta vez si los elimino porque me detecto algunos virus en el c, esperemos que esos sean los que causaban el problema en los dispositivos.

muy agradecido con sus rapidas respuestas y soluciones prontas.



(21-10-2009 18:22:48 (GMT))

EliStartPage v19.51 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "N:\"

N:\ALCOHOL 120% V1.9.8.7612.EXE --> Eliminado, AutoRun.EV

N:\AUTORUN.INF.EXE.VIR --> Eliminado, AutoRun.EV

N:\RECYCLE.EXE --> Eliminado, AutoRun.EV

N:\AUTORUN.INF.EXE --> Eliminado, AutoRun.EV

N:\YUGI OH.EXE --> Eliminado, AutoRun.EV

N:\PACMAN.EXE --> Eliminado, AutoRun.EV

N:\SUPER NINTENDO.EXE --> Eliminado, AutoRun.EV



Nº Total de Directorios: 11

Nº Total de Ficheros: 522

Nº de Ficheros Analizados: 28

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 7



(21-10-2009 18:23:42 (GMT))

EliStartPage v19.51 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\AUTORUN.INF.EXE.MUESTRA ELIMOVER V1.1 --> Eliminado, AutoRun.EV

C:\Muestras\C5E8B3.EXE.MUESTRA ELIMOVER V1.1 --> Eliminado, AutoRun.EV

C:\Muestras\CMDOW.EXE.MUESTRA ELIMOVER V1.1 --> Eliminado, Tool-HideWindow

C:\Muestras\RECYCLE.EXE.MUESTRA ELIMOVER V1.1 --> Eliminado, AutoRun.EV

C:\WINDOWS\system32\CMDOW.EXE.VIR --> Eliminado, Tool-HideWindow

C:\WINDOWS\system32\20E8B0\CNVPE.FNE --> Eliminado, AutoRun.EV(comp)

C:\WINDOWS\system32\20E8B0\DP1.FNE --> Eliminado, AutoRun.EV(comp)

C:\WINDOWS\system32\20E8B0\EAPI.FNE --> Eliminado, AutoRun.EV(comp)

C:\WINDOWS\system32\20E8B0\HTMLVIEW.FNE --> Eliminado, AutoRun.EV(comp)

C:\WINDOWS\system32\20E8B0\INTERNET.FNE --> Eliminado, AutoRun.EV(comp)

C:\WINDOWS\system32\20E8B0\KRNLN.FNR --> Eliminado, AutoRun.EV(comp)

C:\WINDOWS\system32\20E8B0\REGEX.FNR --> Eliminado, AutoRun.EV(comp)

C:\WINDOWS\system32\20E8B0\SHELL.FNE --> Eliminado, AutoRun.EV(comp)

C:\WINDOWS\system32\20E8B0\SPEC.FNE --> Eliminado, AutoRun.EV(comp)



Nº Total de Directorios: 2886

Nº Total de Ficheros: 23488

Nº de Ficheros Analizados: 8173

Nº de Ficheros Infectados: 14

Nº de Ficheros Limpiados: 14

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 21-10-2009