ggb6w.exe (SOLUCIONADO)

[spyfly]

HOla, debo tener un virus en el pc o algo raro. Pq en la raiz se me crea constantemente el archivo autorun.inf y el ggb6w.exe. Se me crean como archivo de sistema y oculto y se me cambian solas las caracteristicas dle explorer para q no vea esos archivos. Si pongo mostrar esos archivos se me kitan solas y se me pono en modo de que no se muestren. Si los borro, al segundo vuelven a crearse ellos solos.



He metido un pendrive y el archivo se me ha creado tb en el pendrive...



No se como eliminarlo. ¿Alguien me ayuda?



saludos

[msc hotline sat]

Claro, es lo típico de los virus de pendrive.



Vacuna el ordenador y los pendrives con el ELIPEN , y envianos tanto el AUTORUN.INF como el fichero que lanza, seguramente este ggb6w.exe, ademas del infosat.txt:





.



vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 12-7-2010

[spyfly]

pues es que en el ordenador que se ha infectado no tengo permisos de instalacion de programas. Y el pincho ya lo formatee y ahora esta libre de ese virus tan raro.



El caso es que creo que lo traje de un pc de un amigo en mi pendrive.



Creo que el archivo se metio en mi pendrive como un .exe + autorun.inf y al meter el pincho en mi pc el autorun le dije q se ejecutase el ggb6w.exe y se metio en el pc...



me han comentado que este tipo de virus es mu comun, y una medida de seguridad puede ser tener siemrpre creado un autorun.inf que no haga nada y solo lectura para que en un futuro no se pueda modificar por otro virus que funcione de esta manera. Dicen que es muy comun en los intercambios de pendrives este contagio.

[spyfly]

o mejor aun es crear una carpeta con el nombre autorun.inf y se acabo los virus ya ke las carpetas no se borran = ke los archivos, al menos eso es lo que me han recomendado...

[msc hotline sat]

Pero tanto los archivos como las carpetas, se borran soplando, por esto el ELIPEN crea en los pendrives que se procesen una carpeta protegida, la cual, salvo con un formateo, no es fácil borrarla con los medios habituales.



Por esto te indicamos que lo probaras, ademas de que nos enviaras los ficheros relacionados:


[quote="msc"]envianos tanto el AUTORUN.INF como el fichero que lanza, seguramente este ggb6w.exe, ademas del infosat.txt[/quote]

Una vez los recibamos, los analizaremos e implementaremos su control y eliminación en la siguiente versión del ELISTARA, de lo cual informaremos



saludos



ms, 13-7-2010

[spyfly]

un pendrive protegido con elipen en mi pc de casa. Si despues va a a usarse en otros pc´s nunca mas en casa (trabajo, universidad...) sigue protegido o deberia tb tener el elipen en el resto de ekipos??

[msc hotline sat]

Un pendrive procesado con el ELIPEN ya queda para siempre protegido (salvo que lo formatees, claro), pues la carpeta AUTORUN.INF que creamos está protegida y no creo que la puedas eliminar... y con ello impedimos que cualquier fichero con el nombre de AUTORUN.INF se copie en el raiz de dicha unidad, que es lo que hacen todos los virus que se propagan por pendrive, para asi ser autoejecutados al acceder a ellos a traves de cualquier ordenador no protegido con el ELIPEN.



Además, en los ordenadores que ya esten vacunados, se les ha modificado una clave de registro que impide autoejecutar los AUTORUN.INF de otras unidades que no sean CD y DVD, salvo que lo modifique el usuario para que pueda hacerlo en determinada unidad (al pulsar el SALIR se ve la lista de unidades protegidas y se puede cambiar a gusto del usuario)



Tras probar el ELIPEN, posteanos el contenido de c:\infosat.txt, gracias



saludos



ms, 13-7-2010

[spyfly]

(14-7-2010 21:56:58)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



(14-7-2010 21:58:04)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



(14-7-2010 21:58:34)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad D:\ Protegida



(14-7-2010 21:58:54)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ Protegida



(14-7-2010 22:00:21)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad H:\ Protegida



(14-7-2010 22:06:21)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ Protegida



(14-7-2010 22:06:59)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ Protegida



(14-7-2010 22:07:34)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ Protegida



(14-7-2010 22:08:14)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ Protegida



(14-7-2010 22:08:40)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ Protegida

[spyfly]

Ya protegí mis pinchos y mi pc, ahora mis pinchos tienen un directorio que no pudo borrar entiendo que están protegidos y los puedo meter en cualkier pc, no se necesitaria meterle nunca mas el elipen, verdad???



además mi pc tb está protegido por tener elipen de un posible pincho con virus,no???

[msc hotline sat]

Efectivamente, salvo que sus pendrives los formateara o por algun medio borrara dicha carpeta, no podrá crearse en el raiz de dicha unidad, un fichero con el nombre autorun.inf, por estar usado por dicha carpeta.



Ahora bien, en el ordenador se puede cambiar la configuración de la clave que controla la autoejecucion de dicho fichero en los pendrives, y es al pulsar en SALIR del ELIPEN cuando verá las unidades en las que no se permite la autoejecucion del fichero AUTORUN.INF, pero ello es configurable a gusto del usuario.



Inicialmente se impide dicha autoejecucion desde cualquier unidad que no sea la de CD-DVD, pero el usuario lo puede cambiar a su gusto ...



SOlo recuerda que este tipo de virus puede entrar por ejecucion de un fichero anexado a un mail, o por acceder a una web infectada, o por falta de parches, como el Confickcer, pero al menos no lo propagarás via pendrive a otros ordenadores o desde otros ordenadores por dicho medio.



Pero no vemos ningun autorun.inf, ni el fichero que decias GGB6W.EXE en dichos pendrive, contra lo que decias de [i]" se me crea constantemente el archivo autorun.inf y el ggb6w.exe"[/i]. Mira si tienes algo en C:\muestras\ o si lo has hecho algo con ello, dinoslo y envianos dichso ficheros para poder analizarlos y copntrolarlos, gracias



saludos



ms, 15-7-2010

[spyfly]

es que los borreo manualmente y hay un .dll en un temp q era el q me se encargaba de ponerme el autorun todo el rato. Así que borre ese dll y el autorun y el .exe y se acabo...



peor ahora estoy protegido pal futuro....

[msc hotline sat]

Pues es una pena que los borraras en lugar de enviarnoslos para analizar. Asi no podemos ayudarte ni ayudar a los demás con el analisis de los mismos...



En fin, visto lo que dices, damos por solucionado el Tema y procedemos a cerrarlo



saludos



ms, 16-7-2010