Virus del messenger

[alejandrovazuezmx]

Hola emcontre un virus que hace a mi equipo muy lento, al parecer se transmite por messenger



envio muestras



pego infosat





(8-1-2010 1:11:26 (GMT))

EliStartPage v20.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\CYBERCLIENT\VIGIA.EXE

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\HERSS.EXE.Muestra EliStartPage v20.06

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\ALE\CONFIG~1\TEMP\\HERSS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\CVASDS0.DLL.Muestra EliStartPage v20.06

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\ALE\CONFIG~1\TEMP\\CVASDS0.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\CVASDS1.DLL.Muestra EliStartPage v20.06

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\ALE\CONFIG~1\TEMP\\CVASDS1.DLL --> Eliminado

Entrada Eliminada [HKCU\...\Run] "cdoosoft"="C:\DOCUME~1\ale\CONFIG~1\Temp\herss.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=f2kmj.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



(8-1-2010 1:14:10 (GMT))

EliStartPage v20.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4852

Nº Total de Ficheros: 35814

Nº de Ficheros Analizados: 10685

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-1-2010 1:19:49) (GMT)

EliTriIP v6.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(8-1-2010 1:19:49) (GMT)

EliTriIP v6.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4855

Nº Total de Ficheros: 35821

Nº de Ficheros Analizados: 9844

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-1-2010 1:20:38) (GMT)

EliTriIP v6.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(8-1-2010 1:20:39) (GMT)

EliTriIP v6.40 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Enero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4855

Nº Total de Ficheros: 35820

Nº de Ficheros Analizados: 9843

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-1-2010 01:29:21)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado C:\Autorun.inf

OPEN=F2KMJ.EXE

C:\Autorun.inf -> Renombrado a .OLD

Unidad C:\ Protegida

[msc hotline sat]

Pues ya ve lo que indica el infosat:



Por favor, envienos una muestra del fichero

C:\CYBERCLIENT\VIGIA.EXE



Por favor, envienos una muestra del fichero

C:\Muestras\HERSS.EXE.Muestra EliStartPage v20.06



Por favor, envienos una muestra del fichero

C:\Muestras\CVASDS0.DLL.Muestra EliStartPage v20.06



Por favor, envienos una muestra del fichero

C:\Muestras\CVASDS1.DLL.Muestra EliStartPage v20.06



y además:



Detectado AUTORUN.INF en la Unidad (C)

open=f2kmj.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF



NOTA: Como que pasó luego el ELIPEN, ahora el AUTORUN.INF se llama AUTORUN.INF.OLD, tengalo en cuenta para enviarnoslo.





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 8-1-2010

[alejandrovazuezmx]

ya envie las muestras



gracias

[msc hotline sat]

Pues a excepcion del f2kmj.exe, los demás ya están aparcados y no deben incordiarle



y el indicado no lo lanzará a través del AUTORUN, ya inactivo, pero si no lo conoce de ser de una aplicacion instalada voluntariamente, como supongo, es cuestion de aparcarlo tambien añadiendo .VIR a su extension, por si en el registro hay instalada una clave que lo lanza.



Parece que es una copia del HERRS.EXE, y que se trata de variantes del ONLINE GAME, de los que tantos ya conocemos: http://hotzone-it.blogspot.com/2010/01/how-to-remove-f2kmjexe.html



Evidentemente tendrá atributitos de oculto, sistema y demas, y para añadirle dicha extension deberá quitarle los atributos. Si les es problema, pruebe el ELIMOVER, indicandole que el ficheo a copiar a muestras sea el C:\fekmj.exe y marque la casilla inferior izquierda, para que le añada dicha extension .VIR





Y si este aun no nos lo ha podido enviar, hagalo, lo tendrá ahora en C:\muestras , libre de atributos y fácil de acceder.



Y el lunes, cuando volvamos al trabajo en SATINFO, los analizaremos e implementaremos su control y eliminacion en la siguiente version del ELISTARA, con la que podrá eliminarlos totalmente.



Mientras, estarán "aparcados" y podrá seguir trabajando.



saludos



ms, 9-1-2010