Creo que ando con un Virus

[axe09]

Saludos y buenos dias. Bueno, hace un momento encendi mi computadora y me salio un aviso de mi antivirus diciendo que "supuestamente" tengo un virus o algun problema.

En el antivirus, la informacion que me da sobre los archivos infectados son:



File: C:\WINDOWS\Shost.exe

C:\Windows\system32\_Shost.exe





Y la descripción que ma da sobre la infeccion o el problema se llama:



Infection: Runtime packed themida



Les agradecere su ayuda. Buenos Dias.

[msc hotline sat]

Pues parece que lo tiene en dos sitios:



C:\WINDOWS\Shost.exe



C:\Windows\system32\_Shost.exe





Envienos los dos ficheros para analizar :





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

[axe09]

Gracias msc hotline sat, ya envie Shost.exe

La otra no la pude enviar ya que no la pude encontrar.

Muchas gracias!

[msc hotline sat]

Recibida la muestra debo decirte que el VirusScan ya ha detectado que se trata de un BackDoor-AWQ.b, asi que puedes añadirles .VIR a su extension y tras reiniciar ya no incordiaran.



Aparte, tras monitorizar su comportamiento, implementaremos su control y eliminaicon en nuestras utilidades, de lo cual informaremos.



saludos



ms, 19-1-2010

[axe09]

Muchas gracias por su tiempo.. Pero, hay alguna manera de eliminarlo? No me gustaria tener ese virus en mi pc :(

[msc hotline sat]

Sí, claro.



Estamos implementando en el ELITRIIP de hoy la eliminacion de este backdoor


[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

[size=150]MUY IMPORTANTE: PARA ELIMINAR ESTE MALWARE DEBES EJECUTAR EL ELITRIIP ARRANCANDO EN MODO SEGURO !!![/size]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms,19-1-2010

[axe09]

Disculpame, no habia leido que habia que arrancar en modo seguro para ejecutar el elitriip.. Ok, verificare ahora. Gracias

[msc hotline sat]

PERO HAS DE DESCARGAR LA VERSION QUE ACABO DE SUBIR, LA 6.45 !!!



saludos



ms, 19-1-2010

ref PR/AB+18.25-66.13

[axe09]

[b]Hola y Saludos nuevamente. Bueno, descargue la ultima version.. Inicie en Safe Mode, luego inicie el EliTriip y estos fueron los resultados:





(19-1-2010 23:09:29) (GMT)

EliTriIP v6.44 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Enero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(19-1-2010 23:10:49) (GMT)

EliTriIP v6.45 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Enero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SHOST.EXE --> BackDoor.AWQ Acceso Denegado.

C:\WINDOWS\SYSTEM32\_SHOST.EXE --> BackDoor.AWQ Acceso Denegado.

Eliminado Servicio, "Shost"

Reinicie para Completar la Limpieza.



(19-1-2010 23:13:35) (GMT)

EliTriIP v6.45 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Enero del 2010)

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SHOST.EXE --> Eliminado BackDoor.AWQ

C:\WINDOWS\SYSTEM32\_SHOST.EXE --> Eliminado BackDoor.AWQ

Eliminado Servicio, "Shost"



(19-1-2010 23:13:47) (GMT)

EliTriIP v6.45 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Enero del 2010)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Shost.exe --> Eliminado, BackDoor.AWQ



Nº Total de Directorios: 12451

Nº Total de Ficheros: 101778

Nº de Ficheros Analizados: 30081

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[/b]

[msc hotline sat]

Bien, pues ya vemos que la 6.45 ha hecho lo prometido.



Dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 19-1-2010