COMO LIMPIAR UN VIRUS EN UN DISCO EXTERNO CON CONEXION ETHERNET A MI RED

[SMcqueen]

Alguien puede ayudarme?: se me ha instalado un virus en un disco externo (Iomega) que tengo conectado a mi red a traves de la conexion ethernet y no puedo borrar ciertos archivos infectados porque tienen atributo de solo lectura. He tratado de quiterles el atributo de lectura pero no consigo hacerlo con el comando attrib, ejecutandolo desde cualquier PC de mi red. Os agradezco vuestros comentarios-.

[msc hotline sat]

Puede ser por dos cosas, que el virus esté activo en memoria, y los ficheros víricos no admitan modificaciones, o que además del atributo R y quizas el H, tenga el S de sistema



Ejecuta el ATTRIB sobre dichos ficheros con las siguientes opciones: -S, -H, -R a ver si asi se deja.



Sino, mira de añadir .VIR a la extension de dichos ficheros y tras reiniciar ya no estarán en uso, por si fuera el caso.



Aparte, envianoslos para analizar y controlar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 31-8-2010

RSPMAD

[SMcqueen]

ante todo gracias por tu respuesta.

Lo de añadir .vir te refieres a q ejecute attrib refiriendome al nombre del fichero cambiando la extension a .vir?.

Otra Cosa, que debo reiniciar, mi pc o debo hacerle un shutdown al disco de red?

[msc hotline sat]

Aparte de ejecutar el ATTRIB para quitarle los atributos y poder acceder normalmente a dicho fichero, ya que lo haces desde una ventana al DOS, el añadir la extension .VIR se hace con un REN.



Normalmente se hace asi:



REN <nombre de fichero .exe> <nombre de fichero .exe.vir>



saludos



ms, 1-9-2010

[SMcqueen]

Sigo con Problemas.

Vuelvo a explicar mi problema con mas detalle:

Tengo una red en la oficina y uno de los dispositivos es un disco externo Raid (Iomega) con conexión ethernet, en el que almacenamos los archivos los diferentes usuarios de la red. En el disco externo se me ha instalado un virus gusano o yo que se y se me han creado una serie de ficheros con extension .exe y .scr, algunos de estos archivos tienen como nombre BUARAA.EXE, BUARAA.SCR, BOAQAA.EXE, BOAQAA.SCR, XXX.DLL, X.EXE, ... (No se si os sonarán los nombres).

Este desgraciado bicho, me crea archivos de tipo Shortcut en el disco entre otras cosas y además, me infecta cualquier dispositivo externo tipo pendrive que conecto a un pc de la red.

He tratado de hacer de todo para limpiar los archivos del disco, pero no tengo narices a quitarles el atributo de sólo lectura a los archivos para borrarlos de una vez por todas (he comprobado que es el único atributo asignado). Para ello he desconectado todos los equipos de la red, he apagado mi router para dejar un sólo equipo en red y el disco externo para evitar el uso de los archivos, he renombrado los mismos y reiniciado el disco y el pc para evitar la autocopia, no se ya que mas hacer, los diferentes antivirus que ejecuto me detectan el problema pero son incapaces de borrar estos archivos.

SE OS OCURRE ALGO A LO QUE YO NO LLEGO. OS LO AGRADECERIA NO SABEIS COMO. GRACIAS DE ANTEMANO

[msc hotline sat]

Pues envianos alguno de estos ficheros para analizar y tras ello lo controlares con la siguiente version del ELISTARA



Aparte, vacuna todas tus unidades con ELIPEN y no propagará mas dicho virus, pero claro, tenemos que quitarlo de circulacion para que no incordie, y es lo que haremos si podemos analizarlo.



saludos



ms, 1-9-2010

[SMcqueen]

Os he enviado un zip con unos cuantos archivos.

Ahora bajo elipen para bloquear la propagación.

Mil Gracias y quedo a la espera.

[SMcqueen]

Al pasar elipen a una unidad de red que apunta a una de las carpetas compartidas de mi disco problemático me ha dado una alerta que dice:

Detectado X:\Autorun.inf

SHELLEXECUTE=BUARAA.EXE

¿Desea proteger la Unidad?

Me ha extrañado mucho un Autorun en la unidad, así que os he enviado dicho archivo para que lo veais.

¿Puede ser este autorun el causante de todos mis problemas?

Espero vuestros análisis y si tengo que bajarme alguna utilidad me lo decis.



Un saludo.

[msc hotline sat]

Si, este es uno del tipo de los que se propagan por pendrive, o unidades extraibles, y ahora el ELIPEN ya lo ha bloqueado, pero debe estar en el ordenador, cargandose desde el registro de sistema, es lo que hacen estos bichos, infectan via mail, IP o pendrive y luego se cargan en el arranque desde el registro de sistema



Necesitamos los dos ficheros, el AUTORUN que posiblemente ahora tendrá extension .OLD y este BUARAA.EXE



Y en cuanto los tengamos, tendrá las horas contadas ... :)



saludos



ms, 1-9-2010

[SMcqueen]

pues estos archivos ya os lo he enviado. Cuanto tengais el antidoto me lo enviais. SOIS BUENOS ...

1 Saludo

[msc hotline sat]

Hpy, cuando entremos a trabajar en SATINFO, nos los darán y procederemos.



Seguiremos informando.



saludos



ms, 2-9-2010

[msc hotline sat]

Por las muestras recibidas vemos que se trata de un WORM VBNA polimorfico y de encriptacion variable, cambiante en cada instalacion:





sMD5 v1.3b (c)2009 S.G.H. / Satinfo S.L.

(Creado en Noviembre del 2008)

Listado de MD5 (Message Digest Algorithm 5)

-------------------------------------------



Ficheros de: "S:\2010-09-01\ZonaVirus\SMcqueen.WORM VBNA, VARIABLE Y POLI"

"392CC9104594AE99ECBBFF043FBE81A4" -> CUILUH.SCR.zip 347826

"3C2C1D77A308E419B7703250368201C0" -> X.DLL.VIR 10240

"227CE98D0E48C58D9FCEC2A2236C3BEA" -> CUILUH.EXE.VIR 144384

"FA997495ACD087C3059C8740E178A9B5" -> X.EXE.VIR 144384

"4A1B19B253DB21BDC3057F61C1D73719" -> buaraa.ex.vir 144384

"4A1B19B253DB21BDC3057F61C1D73719" -> BOAQAA.EXE.VIR 144384

"4A1B19B253DB21BDC3057F61C1D73719" -> BOAQAA.SCR.VIR 144384

"AB6D593F069715EE797E97D091D57110" -> autorun.zip 251

"227CE98D0E48C58D9FCEC2A2236C3BEA" -> CUILUH.SCR.VIR 144384

"FA997495ACD087C3059C8740E178A9B5" -> BUARAA.SCR.VIR 144384

"4A1B19B253DB21BDC3057F61C1D73719" -> buaraa.sc.vir 144384

"FA997495ACD087C3059C8740E178A9B5" -> BUARAA.EXE.VIR 144384



12 Ficheros Analizados.





Si bien inicialmente los controlabamos con el ELIBVNA, cuando la encriptacion era fija, a partir del momento en que vimos que cambia en cada instalacion, ya nos olvidamos de controlarlo con nuestras utilidades y sugerimos utilicen para dichos casos el CUREIT, que segun el preanalisis lo controla:





Scanned time : 2010/09/02 10:49:17 (CEST)

Scanner results: 31% Escaner (11/36) encontró infección

File Name : BOAQAA.EXE.VIR

File Size : 144384 byte

File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : 4a1b19b253db21bdc3057f61c1d73719

SHA1 : b0a2414ab53c34d5f7b8ccdd3bc6927e687ae8e9







Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 5.0.0.19 20100902040721 2010-09-02 40.09 -

AhnLab V3 2010.08.28.00 2010.08.28 2010-08-28 40.09 -

AntiVir 8.2.4.46 7.10.11.68 2010-09-01 0.30 TR/ATRAPS.Gen2

Antiy 2.0.18 20100902.5068010 2010-09-02 0.12 -

Arcavir 2009 201006281601 2010-06-28 0.01 -

Authentium 5.1.1 201009020231 2010-09-02 1.70 -

AVAST! 4.7.4 100901-1 2010-09-01 0.01 -

AVG 8.5.793 271.1.1/3107 2010-09-02 0.25 Worm/VB.12.AS

BitDefender 7.90123.6300942 7.33690 2010-09-02 4.59 Win32.Worm.Agent.QGF

ClamAV 0.96.1 11775 2010-09-02 0.03 -

Comodo 4.0 5939 2010-09-02 40.09 -

CP Secure 1.3.0.5 2010.09.02 2010-09-02 0.06 -

Dr.Web 5.0.2.3300 2010.09.02 2010-09-02 8.90 Win32.HLLW.Autoruner.25128

F-Prot 4.4.4.56 20100901 2010-09-01 1.59 -

F-Secure 7.02.73807 2010.09.02.05 2010-09-02 10.75 Worm:W32/Vobfus.gen!K [FSE]

Fortinet 4.1.143 12.305 2010-09-01 40.09 -

GData 21.764/21.300 20100901 2010-09-01 40.09 -

ViRobot 20100901 2010.09.01 2010-09-01 40.09 -

Ikarus T3. 2010.09.02.76653 2010-09-02 4.69 Worm.Win32.Vobfus

JiangMin 13.0.900 2010.08.30 2010-08-30 40.11 -

Kaspersky 5.5.10 2010.09.01 2010-09-01 0.08 Worm.Win32.VBNA.b

KingSoft 2009.2.5.15 2010.9.1.18 2010-09-01 40.08 -

McAfee 5400.1158 6092 2010-09-01 18.10 Downloader-CJX.gen.g

Microsoft 1.6103 2010.09.02 2010-09-02 40.09 -

Norman 6.05.11 6.05.00 2010-09-02 8.01 -

Panda 9.05.01 2010.09.01 2010-09-01 40.09 -

Trend Micro 9.120-1004 7.430.03 2010-09-01 0.03 WORM_VBNA.SMN

Quick Heal 11.00 2010.09.02 2010-09-02 40.09 -

Rising 20.0 22.63.02.04 2010-09-01 40.09 -

Sophos 3.11.2 4.57 2010-09-02 3.84 Mal/SillyFDC-D

Sunbelt 3.9.2439.2 6824 2010-09-01 40.09 -

Symantec 1.3.0.24 20100901.002 2010-09-01 3.15 W32.Changeup!gen5

nProtect 20100901.01 9008842 2010-09-01 40.09 -

The Hacker 6.5.2.1 v00361 2010-09-01 40.09 -

VBA32 3.12.14.0 20100901.0811 2010-09-01 3.33 -

VirusBuster 4.5.11.10 10.127.70/2006609 2010-09-01 2.43 -





para ello descarguenlo de este link y pruebenlo:



ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe





Tras ello, nos comentan el resultado, gracias



saludos



ms, 2-9-2010

[SMcqueen]

Tengo un problema para probar el Dr. Cureit y es que lo he bajado desde el link que me indicais pero al ejecutarlo dice que al ser una versión Gratis, sólo analiza el pc desde donde se esté ejecutando y no me incluye las unidades de red. Mi problema es que el disco en el que se encuentran los archivos dañinos no es un disco de ningún pc servidor, sino como os comenté es un disco raid externo, por tanto no tengo manera de ejecutar el Dr. Cureit de forma que me escanee dicho disco. Se os ocurre algo?

[msc hotline sat]

Pues si miras el ultimo informe veras que AVG tambien lo detecta, pruebalo...



saludso



ms, 2-9-2010

[SMcqueen]

Lo he tratado de reparar con AVG y tapoco ha podido. Os mando un pantallazo con el resultado de la operación de desinfección.

[msc hotline sat]

Por lo visto lo has enviado en lugar de postearlo en el foro...



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



Solo las muestras de ficheros maliciosos deben enviarse a SATINFO para analizar.



De todas formas, si dices que con el AVG no los has podido eliminar, prueba de hacerlo arrancando en modo seguro, para que no estén en uso, y nada de limpiar, sino ELIMINARLOS !



Y SINO, LOS QUE TE IDENTIFIQUE INFECTADOS, ELIMINALOS A MANO.



saludos



ms, 2-9-2010

[SMcqueen]

No sé si habéis podido analizar mi problema con el resultado de intento de desinfección con AVG a través del pantallazo que os envié o si necesitais que os mande algún log que haya podido dejar AVG para que lo podáis ver mas claro. Esperu vuestra respuesta.

Un saludo

[msc hotline sat]

Deciamos en el ultimo post:


[quote]"De todas formas, si dices que con el AVG no los has podido eliminar, prueba de hacerlo arrancando en modo seguro, para que no estén en uso, y nada de limpiar, sino ELIMINARLOS !



Y SINO, LOS QUE TE IDENTIFIQUE INFECTADOS, ELIMINALOS A MANO."[/quote]

Nosotros trabajamos con McAfee y por supuesto version legal.



Si con lo antes indicado no es suficiente, debes contratar la licencia de uso de uno de los que lo detectan y eliminarlo con dicho medio.



saludos



ms, 3-9-2010

[SMcqueen]

Ante todo, disculparme, no veía vuestros últimos mensages porque me estaba paginando y no me había dado cuenta.

Creo que no he hecho demasiado [b][i]h[/i][/b]incapié en mi problema o no os lo he trasladado lo suficiente para que os pongáis en situación:

"Los archivos están en un DISCO DURO EXTERNO, no mi PC o PC Servidor." Por tanto no me sirve de nada arrancar en modo seguro.

[msc hotline sat]

Indicabamos que arrancar en MODO SEGURO al resultar que con el AVG no podía eliminarlos, y poder estar el bicho en uso, además de estar en un disco externo.



Si con una version gratuita no puede eliminarlo, adquiera una licencia de uno de los antivirus que lo controla, y eliminelo con él.



Tal como se le informó en post anterior, se trata de un virus polimorfico mutante:



"392CC9104594AE99ECBBFF043FBE81A4" -> CUILUH.SCR.zip 347826

"3C2C1D77A308E419B7703250368201C0" -> X.DLL.VIR 10240

"227CE98D0E48C58D9FCEC2A2236C3BEA" -> CUILUH.EXE.VIR 144384

"FA997495ACD087C3059C8740E178A9B5" -> X.EXE.VIR 144384

"4A1B19B253DB21BDC3057F61C1D73719" -> buaraa.ex.vir 144384

"4A1B19B253DB21BDC3057F61C1D73719" -> BOAQAA.EXE.VIR 144384

"4A1B19B253DB21BDC3057F61C1D73719" -> BOAQAA.SCR.VIR 144384

"AB6D593F069715EE797E97D091D57110" -> autorun.zip 251

"227CE98D0E48C58D9FCEC2A2236C3BEA" -> CUILUH.SCR.VIR 144384

"FA997495ACD087C3059C8740E178A9B5" -> BUARAA.SCR.VIR 144384

"4A1B19B253DB21BDC3057F61C1D73719" -> buaraa.sc.vir 144384

"FA997495ACD087C3059C8740E178A9B5" -> BUARAA.EXE.VIR 144384



que van cambiando de forma en cada infección, por lo cual, aunque con alguna de sus variantes (worm VBNA) lo controlamos con el ELIVBNA, estos los dejamos para los antivirus.



De todas formas, otros de la misma familia, los vamos controlando, siempre que no sean mutantes, pero ya ve que sus muestras tenían diferente MD5 y por ello no nos ocupamos de ellos.



Esperamos que con la version profesional de los antivirus que se lo han detectado pero no eliminado (como el Cureit del Dr Web) lo pueda resolver.



Informenos de sus progresos al respecto, gracias



saludos



ms, 7-9-2010

[msc hotline sat]

y vea novedades al respecto en http://www.zonavirus.com/noticias/2010/ampliacion-de-control-y-eliminacion-del-worm-vbna-con-mayores-prestaciones-del-elivbnaexe-a-partir-de-v-12.asp



saludos



ms, 8-9-2010