virus en pendrive (SOLUCIONADO)

[rigel2024]

hola desde hace unos dias he detectado en la computadora que al meter un pendrive , se crea una carpeta llamada GOLAC con un archivo en su interior con el nombre de tornado.exe (creo k tambien agrega un .zip) mi pregunta es si es un virus y si lo es como puedo sacarlo por k al parecer no se kita borrandolo solo del pendrive , es posible k el archivo k lo origina este en el computador , he probado revisarlo con ubuntu , fedora pero no pasa nada , mi antivirus el avast , no me lo detecta como virus , tampoco el Elistara

Agradeceria una solucion

[msc hotline sat]

De entrada posteanos con un copiar y pegar el fichero creado por ELISTARA, el C:\infosat.txt , especialmente despues de haber procesado la unidad del pendrive, y ya que nos apuntas que el fichero que crea se llama tornado.exe, este envianoslo para analizar:

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=2&t=45334

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 7-10-2010
RCHISANT



NOTA:


y vacunar todas sus unidades de disco y pendrive con el ELIPEN:

ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado

del proceso

[rigel2024]

enviare el archivo que segun yo creo k puede ser un virus , ademas enviare otro archivo que me ha aparecido , el archivo con el nombre de "tornado " ya esta comprimido ,asi k no se como hacerlo , lo enviare asi tal cual si no es asi , por favor decirme como , ah y lo otro el nombre de mi antivirus no es avast , es avira ..me confundi con el nombre

[rigel2024]

los dos archivos han sido subidos uno con el nombre de "tornado" y el otro llamado "hladi" esperando sus respueste , de ante mano muchas gracias

[msc hotline sat]

Pues en cuanto entremos a trabajar hoy en SATINFO (en un par de horas) espero que nos los darán para analizar y controlar, de lo cual informaremos



saludos



ms, 8-10-2010

[msc hotline sat]

Se trata de un Palevo que pasamos a controlar a partir del ELIPALEVO 1.85 de hoy
ELIPALEVO:
http://www.zonavirus.com/descargas/elipalevo.asp

A partir de las 15 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Aparte para controlar el posible downloader, Bredolab o el que sea, que lo puede haber descargado, descarga tambien a dicha hora el ELISTARA 21.78 y pruebalo tambien:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 8-10-2010

[rigel2024]

te cuento que descargue el elipalevo para correrlo en mi pc , para probarlo antes de usarlo en el pc infectado y me aparece un cuadro de mensaje con:"Archivo modificado posiblemente por un virus contacte con satininfo"...podrias decirme que paso con eso ?

[msc hotline sat]

Voy a descargarlo y te comento a continuación...

[msc hotline sat]

Efectivamente, había subido mal al servidor de descargas, prueba descargarla de nuevo



Ya la he subido de nuevo y comprobado.



gracias



ms, 8-10-2010

[rigel2024]

Perfecto , revisando en mi pc su funcionamiento , una vez que pueda lo correre en el pc infectado ...(Funcionamiento parecido al elistara)

[rigel2024]

lo hice funcionar en mi pc ,y no ha encontrado nada..al parecer mi pc esta limpio ...cuando pueda lo mas seguro en la tarde vere que pasa en el pc infectado...ahora este ELIPALEVO controla el archivo el virus tornado? o el HLADI ? o ambos , podrias darme informacion acerca de ambos archivos que envie

de ante mano muchas gracias

[msc hotline sat]

Efectivamente.


Y tras probarlo, posteanos el informe resultante, gracias

saludos

ms, 8-10-2010

[rigel2024]

hace un momento recorde que tenia las muestras de virus en mi pendrive para enviartelas , he hice correr el elipalevo en el pendrive y efectivamente me los detecto y elimino , en la tarde lo correre en el pc infectado , ojala pueda borrarme el archivo k los crea en el pc si es que existen ,y publicare el archivo infosat



muchas gracias

[msc hotline sat]

Y la información que pides puedes verla en estas noticias de hoy:



http://www.zonavirus.com/noticias/2010/nueva-variante-de-spyzbot-solo-detectado-por-4-av-que-pasamos-a-controlar-con-el-elistara-de-hoy.asp



http://www.zonavirus.com/noticias/2010/nueva-variante-de-bredolab-que-descarga-spyzbot-ambos-ya-controlados-por-elistara-actual.asp





Tras probar nuestras utilidade en el ordenador infectado, posteanos el informe resultante, gracias





saludos



ms, 8-10-2010

[rigel2024]

estimado , he corrido el elipalevo y el elistara en modo seguro para evitar que el virus este en uso , y me lo ha detectao , me dijo k lo iba a eliminar en el proximo reinicio , asi que reinicie y lo borro de la memoria, tambien me di el trabajo de borrar el virus de los 3 pendrive que estaban infectados y ha resultado todo bien , ya no aparecen , efectivamente era un palevo que estaba en la pc infectada..ahora publico el fichero de infosat



(9-10-2010 21:49:48 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 627

Nº Total de Ficheros: 3247

Nº de Ficheros Analizados: 164

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(9-10-2010 21:49:54 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"

E:\PRZHI\hladi.exe --> Eliminado, P2P-Worm.Palevo(rmhzb)



Nº Total de Directorios: 4

Nº Total de Ficheros: 7

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(9-10-2010 21:49:55 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 4

Nº Total de Ficheros: 6

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(9-10-2010 21:49:56 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 4

Nº Total de Ficheros: 6

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(9-10-2010 21:51:06 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"

E:\GOLAC\tornado.exe --> Eliminado, P2P-Worm.Palevo(sjlp)



Nº Total de Directorios: 2

Nº Total de Ficheros: 3

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(9-10-2010 21:51:07 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 2

Nº Total de Ficheros: 2

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(9-10-2010 21:51:50 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 2

Nº Total de Ficheros: 2

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(9-10-2010 21:51:54 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 2

Nº Total de Ficheros: 2

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(9-10-2010 21:52:03 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 441

Nº Total de Ficheros: 2683

Nº de Ficheros Analizados: 108

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(9-10-2010 21:53:02 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"

E:\autorun.inf --> Eliminado, P2P-Worm.Palevo(rmhzb)(inf)

E:\PRZHI\hladi.exe --> Eliminado, P2P-Worm.Palevo(rmhzb)



Nº Total de Directorios: 2

Nº Total de Ficheros: 2

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(9-10-2010 21:53:41 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 1

Nº Total de Ficheros: 2

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(9-10-2010 21:53:42 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 1

Nº Total de Ficheros: 2

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(9-10-2010 21:54:16 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"

E:\autorun.inf --> Eliminado, P2P-Worm.Palevo(rmhzb)(inf)

E:\PRZHI\hladi.exe --> Eliminado, P2P-Worm.Palevo(rmhzb)



Nº Total de Directorios: 1

Nº Total de Ficheros: 2

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2





(9-10-2010 21:54:41)

EliPen v2.1 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad E:\ Protegida

(9-10-2010 21:56:37 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"

E:\GOLAC\tornado.exe --> Eliminado, P2P-Worm.Palevo(sjlp)

E:\PRZHI\hladi.exe --> Eliminado, P2P-Worm.Palevo(rmhzb)



Nº Total de Directorios: 9

Nº Total de Ficheros: 11

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(9-10-2010 21:58:44 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrador\Datos de programa\rmhzb.exe --> Acceso Denegado, P2P-Worm.Palevo(rmhzb) (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 7682

Nº Total de Ficheros: 46048

Nº de Ficheros Analizados: 2076

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



(9-10-2010 22:01:23 (GMT))

EliStartPage v21.78 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(9-10-2010 22:04:01 (GMT))

EliStartPage v21.78 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7666

Nº Total de Ficheros: 45749

Nº de Ficheros Analizados: 10748

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(9-10-2010 22:06:23 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\RMHZB.EXE --> Eliminado P2P-Worm.Palevo(rmhzb)

Eliminada Clave [HKLM\...\Winlogon] "Taskman"="C:\Documents and Settings\Administrador\Datos de programa\rmhzb.exe"



(9-10-2010 22:09:01 (GMT))

EliPalevo v1.85 (c)2010 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7667

Nº Total de Ficheros: 45752

Nº de Ficheros Analizados: 2075

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(9-10-2010 22:10:31 (GMT))

EliStartPage v21.78 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(9-10-2010 22:15:53 (GMT))

EliStartPage v21.78 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7668

Nº Total de Ficheros: 45765

Nº de Ficheros Analizados: 10748

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Entiendo con esto que tu pc ya esta limpio, confirmanoslo por favor y así daremos el tema por solucionado. Saludos.

[msc hotline sat]

Parece que ya eliminaste este palevo tanto de ordenador como de pendrives, pero vemos que te faltan parches:



No detectado Parche MS08-067 de Microsoft instalado. (SServidor)





Lanza un widowsupdate y actualizalos, que de nada sirven los antivirus si no se parchean los agujeros de seguridad del sistema, como este que impide que entre el Conficker desde internet !



y como indica lucl, dinos si podemos dar el Tema por solucionado, gracias.



saludos



ms, 10-10-2010

[rigel2024]

estimados , tema solucionado ya no hay virus en la pc ni en los pendrive , y el tema del parche siempre me ha salido , espero k me digan como solucionar eso , a todos los que me respondieron muchas gracias

Tema solucionado.

[msc hotline sat]

Sí, el parche lo instalará lanzando un windowsupdate, por ejemplo desde el mismo navegado, pulse arriba, en la barra de Herramientas, sobre HERRAMIENTAS, y en medio le aparecerá WINDOWSUPDATE, pulse allí tambien y que busque actualizaciones pendientes, y cuando se lo ofrezca, escoja la ACTUALIZACION RAPIDA.



Y celebramos que se haya solucionado el problema, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 17-10-2010