virus (SOLUCIONADO)

[josermz]

en mi computadora meto muchas usb y tengo virus, ahora al meter una usb [b][i]echa[/i][/b] a perder todo las carpetas las hace accesos directos y si me fijo en propiedades me sale esto E:\tiazehx.exe E:Documents



hay alguna manera de arreglar esto???

[msc hotline sat]

Debe ser uno mas de los muchos malwares que usan dicha malicia...



De entrada, vacuna el ordenador y los pendrives con el ELIPEN, para que no propaguen mas virus de este tipo:



.



vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp





y luego prueba el ELISTARA, a ver si ya es de los que conocemos, o pide muestra para analizar


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



en cualquier caso envianos este E:\tiazehx.exe y lo analizaremos:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 1-9-2010

[josermz]

(6-9-2010 15:57:11)

EliPen v2.1 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad A:\ No se Pudo Proteger



Unidad C:\ YA esta Protegida



Unidad H:\ Protegida

(6-9-2010 16:09:22 (GMT))

EliStartPage v21.55 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Firewall"="C:\Documents and Settings\Administrador\Datos de programa\firewall update.exe"

Eliminado Servicio, "6to4"

Linea Eliminada del HOSTS --> 127.0.0.1 activate.adobe.com

Linea Eliminada del HOSTS --> 127.0.0.1 practivate.adobe.com

Linea Eliminada del HOSTS --> 127.0.0.1 ereg.adobe.com

Linea Eliminada del HOSTS --> 127.0.0.1 activate.wip3.adobe.com

Linea Eliminada del HOSTS --> 127.0.0.1 wip3.adobe.com

Linea Eliminada del HOSTS --> 127.0.0.1 3dns-3.adobe.com

Linea Eliminada del HOSTS --> 127.0.0.1 3dns-2.adobe.com

Linea Eliminada del HOSTS --> 127.0.0.1 adobe-dns.adobe.com

Linea Eliminada del HOSTS --> 127.0.0.1 adobe-dns-2.adobe.com

Linea Eliminada del HOSTS --> 127.0.0.1 adobe-dns-3.adobe.com

Linea Eliminada del HOSTS --> 127.0.0.1 ereg.wip3.adobe.com

Linea Eliminada del HOSTS --> 127.0.0.1 activate-sea.adobe.com

Linea Eliminada del HOSTS --> 127.0.0.1 wwis-dubc1-vip60.adobe.com

Linea Eliminada del HOSTS --> 127.0.0.1 activate-sjc0.adobe.com

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(6-9-2010 16:16:56 (GMT))

EliStartPage v21.55 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrador\ZZZ.DLL --> Eliminado, Worm.VBNA(dll)



Nº Total de Directorios: 7111

Nº Total de Ficheros: 45612

Nº de Ficheros Analizados: 18086

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(6-9-2010 16:23:23 (GMT))

EliStartPage v21.55 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 6 de Septiembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "H:\"



Nº Total de Directorios: 45

Nº Total de Ficheros: 246

Nº de Ficheros Analizados: 48

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues cuando recibamos el fichero pedido (E:\tiazehx.exe ) lo analizaremos e informaremos



y mientras, vemos que le faltan muhos parches:



[b][i]No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/i][/b]



lance un windowsupdate e instale los que encuentre a faltar !



saludos



ms, 6-9-2010

[msc hotline sat]

Hemos recibido solo un .lnk, y con ello no hacemos nada...



Debe enviarnos el fichero EXE que le pedimos para analizar:



E:\tiazehx.exe



Si la unidad E es de pendrive, insertelo y con el ELIMOVER copielo a C:\muestras para poder enviarnoslo:



DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp





y como que se trata de malwares, marcar la casilla inferior izquierda para que se añada .VIR al fichero original, y asi no pueda ponerse en marcha a partir del siguiente reinicio



saludos



ms, 7-9-2010





Y si es de pendrive, recuerde vacunar ordenador y pendrives con el ELIPEN:







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



ms.

[josermz]

ya trate de correr el elipen en el pendrive y me sale error leyendo E:/autorun.inf

[msc hotline sat]

Pues este pendrive puede que esté dañado.



Compruebalo con otro y asi verás que el ELIPEN creará una carpeta AUTORUN.INF protegida, de manera que los virus no le puedan copiar ningun AUTORUN.INF .



saludos



ms, 8-9-2010

[msc hotline sat]

y vea http://www.zonavirus.com/noticias/2010/ampliacion-de-control-y-eliminacion-del-worm-vbna-con-mayores-prestaciones-del-elivbnaexe-a-partir-de-v-12.asp



saludos



ms, 8-9-2010

[msc hotline sat]

Sobre el fichero que nos ha enviado como muestra, es un .lnk que lanza el tiazehx.exe, que es el malware.



Este fichero lo puede borrar, y si nos envia el tiazehx.exe lo pasaremos a controlar, como hemos hecho ya con una docena de muestras recibidas de este virus.



Estará con atributos de oculto, asi que mejor con el ELIMOVER busque X:\tiazehx.exe , donde X será la unidad donde tenga el pendrive:





DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp





y como que se trata de malwares, marcar la casilla inferior izquierda para que se añada .VIR al fichero original, y asi no pueda ponerse en marcha a partir del siguiente reinicio



saludos



ms, 8-9-2010



y lease la noticia que le indicabamos en el post anterior, verá que estos .lnk los crean para que los usuarios pulsen en ellos pensando que son carpetas, y lo que hacen entonces es ejecutar el fichero malicioso, en este caso, el tiazehx.exe



saludos



ms, 8-9-2010

[msc hotline sat]

Recibida la muestra solicitada, en el preanalisis se detecta el PALEVO que suponiamos:



File name: tiazehx.exe .Muestra EliMover v1.1b

Submission date: 2010-09-10 11:34:15 (UTC)

Current status: queued queued analysing finished





Result: 37/ 43 (86.0%)

VT Community



not reviewed

Safety score: -

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2010.09.10.00 2010.09.10 Win32/Vbna.worm.162048.C

AntiVir 8.2.4.50 2010.09.10 TR/Dldr.VB.wps

Antiy-AVL 2.0.3.7 2010.09.10 -

Authentium 5.2.0.5 2010.09.10 W32/Vobfus.E.gen!Eldorado

Avast 4.8.1351.0 2010.09.10 Win32:VB-PTW

Avast5 5.0.594.0 2010.09.10 Win32:VB-PTW

AVG 9.0.0.851 2010.09.10 Worm/VB.12.AF

BitDefender 7.2 2010.09.10 Trojan.Downloader.VB.WPO

CAT-QuickHeal 11.00 2010.09.10 Worm.VBNA.gen

ClamAV 0.96.2.0-git 2010.09.10 Worm.VB-1761

Comodo 6029 2010.09.10 -

DrWeb 5.0.2.03300 2010.09.10 Trojan.MulDrop1.40418

Emsisoft 5.0.0.37 2010.09.10 Worm.Win32.Vobfus!IK

eSafe 7.0.17.0 2010.09.07 -

eTrust-Vet 36.1.7846 2010.09.10 Win32/Vobfus.FH

F-Prot 4.6.1.107 2010.09.01 W32/Vobfus.E.gen!Eldorado

F-Secure 9.0.15370.0 2010.09.10 Worm:W32/Vobfus.gen!K

Fortinet 4.1.143.0 2010.09.09 -

GData 21 2010.09.10 Trojan.Downloader.VB.WPO

Ikarus T3.1.1.88.0 2010.09.10 Worm.Win32.Vobfus

Jiangmin 13.0.900 2010.09.10 Worm/VBNA.wup

K7AntiVirus 9.63.2488 2010.09.10 EmailWorm

Kaspersky 7.0.0.125 2010.09.10 Worm.Win32.VBNA.alpv

McAfee 5.400.0.1158 2010.09.10 Downloader-CJX.gen.g

McAfee-GW-Edition 2010.1B 2010.09.10 Downloader-CJX.gen.g

Microsoft 1.6103 2010.09.10 Worm:Win32/Vobfus.Y

NOD32 5439 2010.09.10 Win32/AutoRun.VB.RT

Norman 6.06.06 2010.09.09 W32/VBNA.BS

nProtect 2010-09-10.01 2010.09.10 Trojan-Downloader/W32.Agent.138240.AD

Panda 10.0.2.7 2010.09.09 W32/VobfusLNK.A

PCTools 7.0.3.5 2010.09.10 Malware.Changeup

Prevx 3.0 2010.09.10 -

Rising 22.64.04.03 2010.09.10 -

Sophos 4.57.0 2010.09.10 Mal/SillyFDC-D

Sunbelt 6858 2010.09.10 Worm.Win32.VBNA.akzw (v)

SUPERAntiSpyware 4.40.0.1006 2010.09.10 Trojan.Agent/Gen-FakeAlert

Symantec 20101.1.1.7 2010.09.10 W32.Changeup!gen5

TheHacker 6.7.0.0.012 2010.09.09 W32/VBNA.alpv

TrendMicro 9.120.0.1004 2010.09.10 WORM_VBNA.SMR

TrendMicro-HouseCall 9.120.0.1004 2010.09.10 WORM_VBNA.SMR

VBA32 3.12.14.0 2010.09.08 Worm.VBNA.alpv

ViRobot 2010.9.8.4031 2010.09.10 Worm.Win32.VBNA.138240

VirusBuster 12.64.26.0 2010.09.09 Worm.VBNA.Gen.3

Additional informationShow all

MD5 : 526757a876f003f743a565397ec76856

SHA1 : 70d63b5de97465d7f99c0957015d6d18f9a6f37f





Recuerde que es un virus de pendrive, vacune ordenador y pendrives con el ELIPEN.



Y tras monitorizarla, trataremos de implementarla con el ELIVBNA de hoy, si nos da tiempo, porque la cola de monitorizacion es larga...



Informaremos cuando se implemente su control en dicha utilidad.



saludos



ms, 10-9-2010

[msc hotline sat]

Al ir a ponerlo en cola de monitorizacion y comprobar antes que no estuviera ya controlado, vemos que el actual ELIVBNA.EXE ya lo controla y elimina !!!



Pues descarga y prueba dicha utilidad:



http://www.zonavirus.com/descargas/elivbna.asp



y nos posteas el informe resultante,para ver el resultado del analisis, con un copiar y pegar de c:\infosat.txt, gracias



saludos



ms, 10-9-2010

[josermz]

(10-9-2010 14:40:45 (GMT))

EliVBNA v1.2 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrador\alg.exe --> Eliminado, Worm.VBNA(08)

C:\Documents and Settings\Administrador\tiazeh.exe --> Acceso Denegado, Worm.VBNA(08) (Reiniciar para Completar la Limpieza)

C:\Documents and Settings\Administrador\tiazeh.scr --> Eliminado, Worm.VBNA(08)

C:\Documents and Settings\Administrador\tiazehx.exe --> Eliminado, Worm.VBNA(08)

C:\Documents and Settings\Administrador\x.exe --> Eliminado, Worm.VBNA(08)



Nº Total de Directorios: 7180

Nº Total de Ficheros: 55668

Nº de Ficheros Analizados: 5288

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 4



ya termino y me dice que uno no se pudo borrar hasta reiniciar reiniciare [b][i]a ver[/i][/b] que pasa se supone que ya debio quedar?? cada que meta un elipen necesitare correr este programa o ya quedo???

[msc hotline sat]

Pues ya ves que el ELIVBNA.EXE lo detectó y eliminó. Pasalo tanto al oprdemador como a los pendrives para eliminar los virus en los que ya esten infectados.



Pero con que pases una vez el ELIPEN al ordenador, ya no lo podrán infectar via pendrive, e igualmente, procesando la unidad donde se tiene el pendrive con dicha utilidad, ya quedan vacunados para siempre (no infectaran por insertarlos en un PC, aunque no estuviera vacunado) Basta con hacerlo una sola vez, salvo que se formateara dicha unidad, entonces adios proteccion, claro, y se debería procesar de nuevo con el ELIPEN.



Fijate que los pendrives quedan con una carpeta AUTORUN.INF, asi logramos evitar que se copien ficheros con igual nombre procedente de cualquiera de los virus de pendrive, y esta carpeta está protegida contra borrado accidental, pero claro, un formateo la eliminaría.



Y dando por solucionado el Tema procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



m,s, 10-9-2010