Virus maravilloso! (no es un pedido, solo un comentario)

[Sergi0]

Me gustaría contar mi dura batalla con este virus, y como salí victorioso! 8)

Pero no... La realidad es que me ganó, y ahora mismo estoy instalado un nuevo Windows. :roll:





Bueno... Igualmente me gustaría compartir lo que para mi fue, la mayor lucha personal contra un virus... Desde el Wilistrover 3° :lol:













[b]Y para no dar tantas vueltas, solo ennumero la características que pude encontrarle:[/b]


[list=1]

[*]Llegó por en mensaje a través del MSN.

[*]Abre automaticamente el MSN, se autologuea y distribuye el virus a otros usuarios.

[*]Desactiva el antivirus que esté corriendo.

[*]Tiene activada la política de seguridad para no permitir instalar software. Al desactivarla, vuelve a activarla automaticamente. :twisted:

[*]Reinicia seguidamente el equipo estando en Modo a prueba de fallos.

[*]Baja el servicio para restaurar el sistema. Y si se lo incia, lo baja automaticamente.

[*]No permite navegar/conectarse con sitios de seguridad ni de descarga de software. Asi que olvidate del scaneo OnLine o de bajar algo. :twisted:

[*]Vuelve a marcar automaticamente las opciones para no mostrar archivos ocultos y de sistema.

[*]No corre como un proceso individual.

[*]No se ve como un servicio "raro".

[*]Crea un registro en el RUN del Registro. (C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\visd32.exe)

[*]Cuando se borra la linea del registro, vuelve a generarla automaticamente. :twisted:

[*]Logré bajarlo de memoria una vez. Matando todos los procesos y borrándolo del registro, peeeeeero: :shock:

[*]Había otro registro en el Autologon del registro. (C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\visd32.exe) Asi que se cargó otra cuando reinicié la PC. :twisted:

[*]Lo volví a bajar de memoria y a borrarlo del registro, y borrar el archivo. Peeeeero: :shock:

[*]Había una tarea programa (que no lo había tenido en cuenta) que se ejecuta cada 5 minutos, y lo cargó otra vez. :twisted: :twisted:

[*]No pude descubrir desde donde se carga ahora (ya no usa esas lineas del RUN o el Autologon del Registro, ni el archivo de C:\RECYCLER, ni las tareas programadas)

[/list]



Es maravilloso!!! :Masters: 8)

La mayoría de las cosas que usualmente se hacen para eliminar un virus, están bloqueadas!!! Y tiene varias formas de autogenerarse. :shock:

Para mi gusto, hubiera bloqueado también el taskmanager, el msconfig, el registro y el mmc, pero bueno... :lol:





[b]Alguien tiene mas info sobre este virus????? [/b]

Quiero buscar el autor, para invitarle una cerveza, como mínimo! :mrgreen:





[size=85]Notas: No era mi PC. Ya fueron eliminados todos los archivos por pedido del usuario. No describí todo lo que hice, pero fue bastante... Con herramientas como: Los antivirus de NOD32, TrendMicro, Karpeski. Y también el Spybot, Spyware Doctor, CCleaner, malwarebytes[/size]

[msc hotline sat]

Pues vemos que tenía este fichero, [i][b]visd32.exe[/b][/i], que es típicamente de uno que se propaga por pendrive, asi que revise sus pendrives y vacunelos con el ELIPEN, que aunque haya formateado el oredenador, a la que insertara uno infectado, si no estuviera vacunado con dicha utilidad, volvería a infectarse !!!



[b]ELIPEN.EXE[/b] (vacuna de protección)

http://www.zonavirus.com/descargas/elipen.asp





y con el ELIMOVER, copie este fichero a c:\muestras y envienoslo para analizar



\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\visd32.exe



ponga la unidad del pendrive donde lo haya detectado el ELIPEN y copie dicha linea en el ELIMOVER:



DESCARGA DE ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



y recuerde enviarnos la muestra en cuestion, segun indicamos en:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 9-11-2009

[Sergi0]

Hola. GRacias por tu respuesta.



Como te decía en el primer post, el virus ingresó por el MSN (no por el USB)

Y el archivo que que me édís, ya fue borrado. Actualmente el virus se encuentra en otro lado que no pude identificar.

Alguna idea ? :(

[msc hotline sat]

Sí, pudo entrar por MSN, pero es de los que se propaga luego por USB, a traves de los pendrives, por ello te pedimos que mires si aun lo tienes en algun pendrive, y nos lo envies para analizar y controlar, ademas de que vacunes dichos pendrives para que no sigan propagandolo !



Tras vacuanr con el ELIPEN todos ellos, posteanos el contenido de c:\infosat.txt y asi veremos donde puede estar.



saludos



ms, 10-11-2009

[Sergi0]

No, los pendrivers no fueron utilizados durante la infección, por lo que no están infectados.

Igualmente luego de reinstalada, se le pasó un antivirus al pen, asi que si había algún virus ya no está mas.



Alguna otra´idea?

Solo me interesa saber el nombre del virus.

Desde ya, muchas gracias por tus respuestas. :D

[msc hotline sat]

Cuando todavía no está controlado, los antivirus no tienen porqué conocerlo, por esto te decimos que proceses todos los pendrives con el ELIPEN y postees el informe resultante.



Y cuando puedas enviarnos el fichero, ya lo bautizaremos :)



De momento, aquí tienes informacion: http://www.prevx.com/filenames/985555860697679825-X1/VISD32.EXE.html



saludos



ms, 11-11-2009